{"id":251841,"date":"2023-10-04T15:33:00","date_gmt":"2023-10-04T12:33:00","guid":{"rendered":"https:\/\/inform.click\/un-guide-du-debutant-pour-proteger-votre-site-wordpress\/"},"modified":"2023-10-04T15:50:00","modified_gmt":"2023-10-04T12:50:00","slug":"un-guide-du-debutant-pour-proteger-votre-site-wordpress","status":"publish","type":"post","link":"https:\/\/inform.click\/fr\/un-guide-du-debutant-pour-proteger-votre-site-wordpress\/","title":{"rendered":"Un guide du d\u00e9butant pour prot\u00e9ger votre site WordPress"},"content":{"rendered":"

\n WordPress est l’un des syst\u00e8mes de gestion de contenu les plus populaires.\n<\/p>\n

\n En effet, cette plateforme de publication est aujourd’hui utilis\u00e9e par plus de 27,5% des 10 millions de sites les plus importants. D’autres plates-formes telles que Joomla et Drupal sont tout simplement p\u00e2les en comparaison. Ce qui rend WordPress si largement pris en charge, c’est sa facilit\u00e9 d’utilisation, qui permet de cr\u00e9er un site enti\u00e8rement fonctionnel en peu de temps.\n<\/p>\n

\n Mais le fait que WordPress soit si r\u00e9pandu en fait \u00e9galement une cible pour les pirates.\n<\/p>\n

\n Toute vuln\u00e9rabilit\u00e9 de s\u00e9curit\u00e9 pourrait rendre votre site vuln\u00e9rable aux attaques malveillantes et m\u00eame compromettre les donn\u00e9es des utilisateurs au cours du processus. Ce type d’attaque peut \u00eatre absolument d\u00e9vastateur pour toute entreprise.\n<\/p>\n

\n Un site compromis r\u00e9duit non seulement la confiance avec vos visiteurs, mais peut \u00e9galement mettre vos pages sur la liste noire de Google. En fait, une \u00e9tape que Google prend d\u00e9j\u00e0 vers un Web plus s\u00e9curis\u00e9 affiche un avertissement pour les utilisateurs de Chrome s’ils tentent de visiter un site potentiellement dangereux ou trompeur (par exemple, hame\u00e7onnage ou logiciel malveillant).\n<\/p>\n

\n Toute personne visitant votre site (s’il a \u00e9t\u00e9 attaqu\u00e9) pourrait \u00eatre confront\u00e9e \u00e0 ce qui suit :\n<\/p>\n

\n L’importance de la s\u00e9curit\u00e9 du site Web ne peut pas \u00eatre assez soulign\u00e9e.\n<\/p>\n

\n Il suffit d’une seule attaque pour arr\u00eater compl\u00e8tement les ventes et potentiellement mettre votre site sur la liste noire de Google. La suppression de votre site est certainement possible, mais vous devrez demander un examen manuel qui peut prendre plusieurs jours, voire des semaines, en fonction du probl\u00e8me. Une bien meilleure solution consiste alors \u00e0 prendre des mesures pour prot\u00e9ger votre site.\n<\/p>\n

\n Nous examinons ici en d\u00e9tail comment vous pouvez prot\u00e9ger et s\u00e9curiser votre site WordPress.\n<\/p>\n

\n Gardez WordPress \u00e0 jour\n<\/p>\n

\n Les mises \u00e0 jour pour WordPress sont essentielles.\n<\/p>\n

\n Une \u00e9valuation de plus de 11 000 sites infect\u00e9s a r\u00e9v\u00e9l\u00e9 que 75 % \u00e9taient sur WordPress. Plus surprenant cependant est le fait que plus de 50% de ces sites Web \u00e9taient obsol\u00e8tes. La mise \u00e0 jour vers la derni\u00e8re version vous donne non seulement acc\u00e8s \u00e0 de nouvelles fonctionnalit\u00e9s, mais corrige \u00e9galement les failles de s\u00e9curit\u00e9 connues que les attaquants pourraient exploiter.\n<\/p>\n

\n En fait, ces vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 deviennent connues lorsque de nouvelles mises \u00e0 jour sont disponibles. Voici un exemple de journal de s\u00e9curit\u00e9 pour une version mise \u00e0 jour de WordPress :\n<\/p>\n

\"\"<\/a><\/p>\n

\n Ces informations sont librement disponibles \u00e0 mesure que de nouvelles mises \u00e0 jour sont publi\u00e9es. Mais si vous ne mettez pas imm\u00e9diatement \u00e0 jour, vous laissez votre site ouvert aux attaques. Mettez toujours \u00e0 jour vers la derni\u00e8re version pour prot\u00e9ger votre site contre les vuln\u00e9rabilit\u00e9s nouvellement d\u00e9couvertes. Si des mises \u00e0 jour sont disponibles, vous verrez une notification en haut de votre tableau de bord :\n<\/p>\n

\"\"<\/a><\/p>\n

\n Les nouvelles versions de WordPress vous permettent de mettre \u00e0 jour facilement en un clic. Gardez \u00e0 l’esprit que votre site sera mis en mode maintenance pendant une courte p\u00e9riode jusqu’\u00e0 ce que la mise \u00e0 jour soit termin\u00e9e. La mise \u00e0 jour ne prend que quelques minutes, mais une fois termin\u00e9e, vous n’aurez rien d’autre \u00e0 faire.\n<\/p>\n

\n Vous n’avez pas envie de mettre \u00e0 jour manuellement votre site \u00e0 chaque fois ?\n<\/p>\n

\n Les notifications peuvent \u00eatre assez ennuyeuses. Mais la mise \u00e0 jour de votre WordPress est l’un des moyens les plus simples de s\u00e9curiser votre site. Si vous ne voulez pas vous soucier de savoir si votre site dispose de la derni\u00e8re version, vous pouvez configurer des mises \u00e0 jour automatiques avec quelques ajustements simples.\n<\/p>\n

\n Ouvrez le fichier wp-config.php et ajoutez-y la ligne suivante :\n<\/p>\n

define('WP_AUTO_UPDATE_CORE', true);<\/code><\/pre>\n
\n  Vous pouvez \u00e9galement activer les mises \u00e0 jour automatiques du plug-in en ajoutant la ligne suivante au m\u00eame fichier :\n<\/p>\n
add_filter( 'auto_update_plugin', '__return_true' );<\/code><\/pre>\n
\n  Et ajoutez cette ligne pour activer les mises \u00e0 jour des th\u00e8mes :\n<\/p>\n
add_filter( 'auto_update_theme', '__return_true' );<\/code><\/pre>\n
\n  L’ajout de ces lignes garantira que votre site est tenu \u00e0 jour sans n\u00e9cessiter aucune autre action. Si vous \u00eates quelqu’un qui ne peut tout simplement pas \u00eatre d\u00e9rang\u00e9 par les mises \u00e0 jour ou les notifications, vous voudrez certainement configurer des mises \u00e0 jour automatiques pour vous assurer que votre site est toujours \u00e0 jour.\n<\/p>\n
\n  Prot\u00e9gez la zone d’administration
\n<\/h3>\n
\n  Quelle que soit la s\u00e9curit\u00e9 de quelque chose, n’importe qui peut facilement y acc\u00e9der s’il dispose des bons outils ou si les propri\u00e9taires sont n\u00e9gligents. Avec WordPress, la zone d’administration est une cible de choix pour les pirates.\n<\/p>\n
\n  Suivez ces \u00e9tapes pour s\u00e9curiser cette page :\n<\/p>\n
\n  Utilisez un mot de passe fort
\n<\/h5>\n
\n  Si vous utilisez un mot de passe faible (par exemple \u00ab\u00a012345\u00a0\u00bb, \u00ab\u00a0mot de passe\u00a0\u00bb, etc.), vous exposez votre site \u00e0 un plus grand risque car les attaquants peuvent utiliser des scripts automatis\u00e9s pour entrer par force brutale. Cela signifie qu’il faut essayer \u00e0 plusieurs reprises un mot de passe jusqu’\u00e0 ce qu’il fonctionne enfin. Mais l’utilisation d’un mot de passe fort qui contient une combinaison de chiffres et de symboles rend presque impossible le piratage des programmes, m\u00eame les plus sophistiqu\u00e9s.\n<\/p>\n
\n  Utilisez un outil tel que Strong Password Generator pour cr\u00e9er un mot de passe fort et s\u00e9curis\u00e9 pour votre site WordPress :\n<\/p>\n
\"\"<\/a><\/p>\n
\n  Brute forcer un mot de passe comme celui-ci prendrait des ann\u00e9es, voire des d\u00e9cennies, \u00e0 un programme informatique pour se fissurer. L’inconv\u00e9nient est qu’un mot de passe fort est difficile \u00e0 retenir. Mais le compromis en vaut vraiment la peine s’il s’agit d'emp\u00eacher les attaquants d’acc\u00e9der \u00e0 votre site. Heureusement, il existe un certain nombre de gestionnaires de mots de passe que vous pouvez utiliser pour stocker votre mot de passe.\n<\/p>\n
\n  Modifier votre nom d’utilisateur
\n<\/h5>\n
\n  Lorsque vous installez WordPress pour la premi\u00e8re fois, il vous sera demand\u00e9 d’entrer un nom d’utilisateur.\n<\/p>\n
\"\"<\/a><\/p>\n
\n  Les pirates ne pourront acc\u00e9der \u00e0 votre tableau de bord que s’ils disposent \u00e0 la fois de votre nom d’utilisateur et de votre mot de passe. Vous pouvez facilement bloquer les tentatives de force brute en utilisant simplement un nom d’utilisateur plus unique. N’utilisez donc pas \u00abadmin\u00bb lorsque vous choisissez un nom d’utilisateur.\n<\/p>\n
\n  Limiter les tentatives de connexion
\n<\/h5>\n
\"\"<\/a><\/p>\n
\n  Comme mentionn\u00e9 pr\u00e9c\u00e9demment, les attaquants peuvent utiliser des programmes pour p\u00e9n\u00e9trer de force dans votre site. Cependant, il existe des plugins disponibles tels que Login LockDown<\/a> qui vous permettent de limiter les tentatives de connexion \u00e0 partir d’une adresse IP sp\u00e9cifique. Si plusieurs tentatives \u00e9chouent, cet utilisateur est verrouill\u00e9.\n<\/p>\n
\n  Renommer votre page de connexion
\n<\/h5>\n
\n  Enfin, une autre fa\u00e7on de prot\u00e9ger la zone d’administration consiste \u00e0 d\u00e9placer compl\u00e8tement la page de connexion. Le tableau de bord est g\u00e9n\u00e9ralement accessible depuis www.yoursite.com\/wp-admin<\/code>. Un probl\u00e8me flagrant cependant est que les pirates savent que le simple fait d’ajouter \u00a0\u00bb \/wp-admin<\/code>\u00a0\u00bb \u00e0 un site WordPress leur donnera acc\u00e8s \u00e0 la page d’administration.\n<\/p>\n
\"\"<\/a><\/p>\n
\n  Protect WP-Admin<\/a> r\u00e9sout ce probl\u00e8me en permettant aux webmasters de personnaliser l’URL du panneau d’administration :\n<\/p>\n
\n  La protection de la zone d’administration en suivant ces \u00e9tapes peut consid\u00e9rablement r\u00e9duire et bloquer les attaques automatis\u00e9es sur votre site.\n<\/p>\n
\n  Activer l’authentification \u00e0 deux facteurs
\n<\/h5>\n
\n  L’authentification \u00e0 deux facteurs ajoute une couche de s\u00e9curit\u00e9 suppl\u00e9mentaire en rendant encore plus difficile l’acc\u00e8s \u00e0 votre compte pour les attaquants. La connexion n\u00e9cessite non seulement un nom d’utilisateur et un mot de passe, mais \u00e9galement un code d’autorisation suppl\u00e9mentaire qui est g\u00e9n\u00e9ralement envoy\u00e9 par SMS \u00e0 un appareil mobile.\n<\/p>\n
\n  M\u00eame si un attaquant devine d’une mani\u00e8re ou d’une autre votre nom d’utilisateur et votre mot de passe, il ne pourra pas se connecter \u00e0 votre compte sans le code d’autorisation. T\u00e9l\u00e9chargez et installez le plug-in Google Authenticator<\/a> pour configurer facilement l’authentification \u00e0 deux facteurs sur votre site :\n<\/p>\n
\"\"<\/a><\/p>\n
\n  En plus de pouvoir utiliser l’application Google Authenticator pour la v\u00e9rification, le plug-in offre \u00e9galement des options suppl\u00e9mentaires pour l’authentification \u00e0 deux facteurs, telles que la v\u00e9rification des e-mails et des appels t\u00e9l\u00e9phoniques. L’authentification \u00e0 deux facteurs peut \u00e9galement \u00eatre utilis\u00e9e si votre site compte plusieurs utilisateurs.\n<\/p>\n
\n  Utilisez .htaccess pour limiter l’acc\u00e8s aux fichiers cruciaux
\n<\/h3>\n
\n  Vous pouvez encore renforcer la s\u00e9curit\u00e9 de votre site WordPress avec le fichier .htaccess. Ce fichier est principalement utilis\u00e9 dans WordPress pour l’optimisation de sites Web, comme la r\u00e9\u00e9criture d’URL afin d’\u00eatre plus convivial pour les utilisateurs et les moteurs de recherche. Mais il peut \u00e9galement \u00eatre utilis\u00e9 pour am\u00e9liorer la s\u00e9curit\u00e9 de votre site.\n<\/p>\n
\n  Le fichier .htaccess se trouve g\u00e9n\u00e9ralement dans le dossier racine et est accessible via un client FTP ou cPanel. Il existe \u00e9galement plusieurs plugins disponibles dont SEO by Yoast<\/a> qui permet un acc\u00e8s direct depuis le tableau de bord.\n<\/p>\n
\n  Voici plusieurs fa\u00e7ons de prot\u00e9ger votre site \u00e0 l’aide du fichier .htaccess :\n<\/p>\n
\n  Masquer wp-config.php
\n<\/h5>\n
\n  Le fichier wp-config.php est standard avec chaque installation, mais il contient \u00e9galement des informations sensibles telles que les cl\u00e9s de s\u00e9curit\u00e9 et les d\u00e9tails de connexion de la base de donn\u00e9es \u00e0 votre site. Ce sont des d\u00e9tails que vous ne voulez certainement pas entre de mauvaises mains. La meilleure solution est alors de cacher enti\u00e8rement ce fichier et de le rendre inaccessible.\n<\/p>\n
\n  Cachez le fichier wp-config.php en ajoutant le code suivant au fichier .htaccess :\n<\/p>\n
\norder allow,deny\ndeny from all\n<\/code><\/pre>\n
\n  Emp\u00eacher la navigation dans les r\u00e9pertoires
\n<\/h5>\n
\n  En raison de la fa\u00e7on dont WordPress impl\u00e9mente sa structure de fichiers, il est tout \u00e0 fait possible pour les visiteurs d’acc\u00e9der aux dossiers et fichiers de votre site en naviguant simplement sur yoursite.com\/wp-content\/uploads. Vous voudrez donc emp\u00eacher la navigation dans les r\u00e9pertoires, car les attaquants pourraient utiliser ces informations \u00e0 des fins malveillantes.\n<\/p>\n
\n  Ajoutez la ligne suivante \u00e0 votre fichier .htaccess :\n<\/p>\n
Options All -Indexes<\/code><\/pre>\n
\n  Les fichiers PHP sont extr\u00eamement importants \u00e0 prot\u00e9ger car les pirates peuvent utiliser ces fichiers pour injecter du code malveillant afin d’infecter un site. Ajoutez le code suivant \u00e0 votre fichier .htaccess pour emp\u00eacher l’acc\u00e8s aux fichiers PHP de votre plugin et de votre th\u00e8me :\n<\/p>\n
RewriteCond %{REQUEST_URI} !^\/wp-content\/plugins\/file\/to\/exclude.php\nRewriteCond %{REQUEST_URI} !^\/wp-content\/plugins\/directory\/to\/exclude\/\nRewriteRule wp-content\/plugins\/(.*.php)$ - [R=404,L]\nRewriteCond %{REQUEST_URI} !^\/wp-content\/themes\/file\/to\/exclude.php\nRewriteCond %{REQUEST_URI} !^\/wp-content\/themes\/directory\/to\/exclude\/\nRewriteRule wp-content\/themes\/(.*.php)$ - [R=404,L]<\/code><\/pre>\n
\n  Le simple fait d’ajouter ces modifications \u00e0 votre fichier .htaccess am\u00e9liorera la s\u00e9curit\u00e9 de votre site WordPress et rendra encore plus difficile l’acc\u00e8s \u00e0 votre site pour les attaquants. Quoi qu’il en soit, il n’existe pas de site compl\u00e8tement s\u00e9curis\u00e9, car de nouvelles vuln\u00e9rabilit\u00e9s sont constamment d\u00e9couvertes et exploit\u00e9es.\n<\/p>\n
\n  C’est pourquoi vous devez avoir un plan de secours au cas o\u00f9 les choses empireraient.\n<\/p>\n
\n  Sauvegardez r\u00e9guli\u00e8rement votre site Maintenez des sauvegardes r\u00e9guli\u00e8res
\n<\/h3>\n
\n  Peu importe le nombre de mesures de s\u00e9curit\u00e9 que vous prenez, votre site peut toujours \u00eatre vuln\u00e9rable.\n<\/p>\n
\n  M\u00eame si WordPress existe depuis plus d’une d\u00e9cennie, l’\u00e9quipe de d\u00e9veloppement identifie et r\u00e9sout constamment les probl\u00e8mes de s\u00e9curit\u00e9. Sans oublier que tout nouveau th\u00e8me ou plugin que vous installez pourrait \u00e9galement avoir des exploits qui n’ont pas encore \u00e9t\u00e9 corrig\u00e9s.\n<\/p>\n
\n  C’est pourquoi c’est une bonne id\u00e9e de sauvegarder r\u00e9guli\u00e8rement votre site. De cette fa\u00e7on, vous pouvez restaurer rapidement votre site et minimiser les pertes si votre site est supprim\u00e9 suite \u00e0 une attaque.\n<\/p>\n
\n  Vous voudrez vous assurer que votre site est sauvegard\u00e9 selon un calendrier r\u00e9gulier et \u00e9galement enregistr\u00e9 dans le cloud. Si votre ordinateur est compromis, vous pourrez acc\u00e9der \u00e0 cette sauvegarde et \u00e0 cette restauration \u00e0 partir d’un autre appareil. Nous vous recommandons d’utiliser une solution automatis\u00e9e telle que BackupBuddy<\/a>.\n<\/p>\n
\"\"<\/a><\/p>\n
\n  La plupart des solutions de sauvegarde n\u00e9cessitent un abonnement payant. Mais si vous comptez sur votre site Web pour votre entreprise, payer en vaut la peine pour votre tranquillit\u00e9 d’esprit. Dans le cas o\u00f9 votre site serait supprim\u00e9 en raison d’une attaque, vous pouvez travailler avec votre fournisseur d’h\u00e9bergement et restaurer facilement votre site \u00e0 une version pr\u00e9c\u00e9dente avec une sauvegarde.\n<\/p>\n
\n  Conclusion
\n<\/h4>\n
\n  Bien que WordPress lui-m\u00eame soit relativement s\u00e9curis\u00e9, l’ajout de th\u00e8mes, de plugins et de code personnalis\u00e9 augmente la probabilit\u00e9 d’une vuln\u00e9rabilit\u00e9 de s\u00e9curit\u00e9 que les pirates peuvent (et font) exploiter. \u00c0 moins que vous ne preniez certaines mesures de s\u00e9curit\u00e9 d\u00e8s maintenant, votre site pourrait \u00eatre une cible potentielle.\n<\/p>\n
\n  Il est important de noter qu’aucun syst\u00e8me n’est totalement s\u00e9curis\u00e9. Mais vous pouvez prendre certaines pr\u00e9cautions qui r\u00e9duiront consid\u00e9rablement les risques d’\u00eatre affect\u00e9 par une attaque malveillante.\n<\/p>\n
\n  Suivez les \u00e9tapes d\u00e9crites ici pour renforcer la s\u00e9curit\u00e9 de votre site WordPress.\n<\/p>\n<\/p>\n
\n  Source d’enregistrement: instantshift.com<\/a>\n<\/div>\n","protected":false},"excerpt":{"rendered":"
WordPress est l’un des syst\u00e8mes de gestion de contenu les plus populaires. En effet, cette plateforme de publication est aujourd’hui utilis\u00e9e par plus de 27,5% des 10 millions de sites les plus importants. D’autres plates-formes telles que Joomla et Drupal sont tout simplement p\u00e2les en comparaison. Ce qui rend WordPress si largement pris en charge, c’est sa facilit\u00e9 d’utilisation, qui permet de cr\u00e9er un site enti\u00e8rement fonctionnel en peu de temps. Mais le fait que WordPress soit si r\u00e9pandu en fait \u00e9galement une cible pour les pirates. Toute vuln\u00e9rabilit\u00e9 de s\u00e9curit\u00e9 pourrait rendre votre site vuln\u00e9rable aux attaques malveillantes et m\u00eame compromettre les donn\u00e9es des utilisateurs au cours du processus. Cette \u2026<\/p>\n","protected":false},"author":1,"featured_media":144808,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","_wp_rev_ctl_limit":""},"categories":[639,106,600,54],"tags":[],"class_list":["post-251841","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-securite","category-securite-internet","category-technologie-et-plus","category-web-et-wordpress"],"_links":{"self":[{"href":"https:\/\/inform.click\/fr\/wp-json\/wp\/v2\/posts\/251841","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/inform.click\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/inform.click\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/inform.click\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/inform.click\/fr\/wp-json\/wp\/v2\/comments?post=251841"}],"version-history":[{"count":0,"href":"https:\/\/inform.click\/fr\/wp-json\/wp\/v2\/posts\/251841\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/inform.click\/fr\/wp-json\/wp\/v2\/media\/144808"}],"wp:attachment":[{"href":"https:\/\/inform.click\/fr\/wp-json\/wp\/v2\/media?parent=251841"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/inform.click\/fr\/wp-json\/wp\/v2\/categories?post=251841"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/inform.click\/fr\/wp-json\/wp\/v2\/tags?post=251841"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}