• Temps de lecture :9 min de lecture

WordPress est le CMS (content management system) le plus utilisé dans le monde pour la création de site web, cela fait également de lui la cible favorite des pirates. On estime que WordPress fait face à environ 90 000 attaques par minute. Dans cet article, je vous explique comment sécuriser un site web sous WordPress facilement. Toutes ces méthodes et plugins sont complémentaire, vous pouvez donc tous les appliquer sans problème.

Sécuriser votre site web depuis l’hébergeur

Installer un certificat SSL

Un certificat SSL (Secure Sockets Layer) est une technologie de sécurité qui établit un lien crypté entre un serveur web et un navigateur. Ce lien assure que toutes les données échangées entre le serveur et le navigateur restent confidentielles et sécurisées. SSL protège les informations sensibles des utilisateurs, telles que les numéros de carte de crédit, les identifiants de connexion et autres données personnelles.

La plupart des fournisseurs d’hébergement offrent une installation simple de SSL via leur panneau de contrôle.

Rediriger toutes les requêtes HTTP vers HTTPS

La redirection HTTP vers HTTPS est un processus qui garantit que toutes les requêtes effectuées vers une URL HTTP (non sécurisé) sont automatiquement redirigées vers l’URL HTTPS (sécurisé) correspondante. Les utilisateurs accédant à un site via une connexion non sécurisée (HTTP) seront automatiquement transférés vers une connexion sécurisée (HTTPS).

De nombreux fournisseurs d’hébergement offrent des options pour activer automatiquement la redirection HTTP vers HTTPS via leur panneau de contrôle.

Configuration manuelle via le fichier .htaccess

Le fichier .htaccess (Hypertext Access) est un fichier de configuration utilisé par le serveur web Apache et ses dérivés. Il permet de modifier la configuration du serveur directement à partir du répertoire où il est placé, sans avoir besoin d’accéder aux fichiers de configuration principaux du serveur.

Vous pouvez ajouter des règles de redirection dans le fichier .htaccess de votre site WordPress.

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>

Activer le protocole HSTS (HTTP Strict Transport Security)

Le protocole HTTP Strict Transport Security (HSTS) est une norme de sécurité web qui protège les sites contre diverses formes d’attaques réseau telles que le détournement de cookies et les attaques de type Man-in-the-Middle (MITM). En informant les navigateurs de toujours utiliser HTTPS au lieu de HTTP pour toutes les communications avec le serveur, HSTS renforce la sécurité des utilisateurs et des données échangées.

Configuration manuelle via le fichier .htaccess

Activer HSTS sur un site WordPress nécessite la modification du fichier de configuration de votre serveur web.

  1. Ajoutez la directive HSTS suivante à votre fichier .htaccess :
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
</IfModule>
  • max-age=31536000 : Définit la durée pendant laquelle le navigateur doit se souvenir que ce site est uniquement accessible via HTTPS, ici 31 536 000 secondes (1 an).
  • includeSubDomains : Applique cette politique à tous les sous-domaines.
  • preload : Indique aux navigateurs de précharger cette règle, en ajoutant votre site à la liste de préchargement HSTS maintenue par les navigateurs (nécessite une inscription séparée).
  1. Après avoir activé HSTS et vérifié que tout fonctionne correctement, vous devez soumettre votre site à la liste de préchargement HSTS.

Cette liste est utilisée par les navigateurs pour appliquer HSTS même avant la première visite de l’utilisateur sur votre site.

Sécuriser votre site web depuis WordPress

WordPress est très apprécié pour ses plugins qui facilitent la mise en place et la gestion des sites web. Parmi les nombreux plugins disponibles, Wordfence et WPS Hide Login se distinguent par leur simplicité d’utilisation.

Wordfence agit comme un antivirus pour votre site internet

Wordfence est l’un des plugins de sécurité les plus populaires pour WordPress. Il offre une gamme complète de fonctionnalités pour protéger votre site contre les menaces :

WordPress Security Plugin  Wordfence
  • Pare-feu (WAF) : Wordfence utilise un pare-feu qui identifie et bloque les menaces en temps réel, avant même qu’elles n’atteignent votre site. Il est constamment mis à jour pour faire face aux nouvelles vulnérabilités.
  • Scanner de malware : Le scanner de Wordfence analyse tous les fichiers de votre site (core, thèmes, plugins) pour détecter et éliminer les logiciels malveillants, les URLs malveillantes et les modifications de fichiers.
  • Protection contre les attaques par force brute : Wordfence surveille et limite les tentatives de connexion pour empêcher les attaques par force brute. Il bloque automatiquement les adresses IP suspectes après plusieurs tentatives échouées.
  • Double Authentification (2FA) : Wordfence propose la double authentification, ajoutant une couche supplémentaire de protection pour les connexions utilisateur.

Remplacer l’URL de connexion avec WPS Hide Login

WPS Hide Login est un plugin plus simple qui remplace l’URL de la page de connexion par défaut de WordPress. En modifiant cette URL, vous pouvez réduire considérablement les risques d’attaques automatisées sur votre page de connexion :

WPS Hide Login
  • Changement d’URL de connexion : Par défaut, l’URL de connexion à WordPress est votre-site.com/wp-login.php ou votre-site.com/wp-admin. En changeant cette URL avec WPS Hide Login, vous rendez plus difficile la tâche des attaquants qui cherchent à accéder à votre page de connexion via des scripts automatisés.