Sécuriser WordPress : 8 Actions Concrètes

WordPress alimente plus de 40 % des sites web dans le monde. Cette popularité en fait la cible numéro un des hackers. Pas parce que WordPress est mal sécurisé en soi, mais parce que l'effet de masse est irrésistible : une faille dans un plugin populaire peut ouvrir la porte à des millions de sites. En 2024, Wordfence a bloqué plus de 100 milliards d'attaques sur des sites WordPress. Les attaques les plus courantes sont le brute force (essayer des milliers de combinaisons login/mot de passe), l'injection SQL, le cross-site scripting (XSS) et l'exploitation de plugins obsolètes. La bonne nouvelle, c'est que 95 % des piratages WordPress sont évitables avec des mesures de base. Pas besoin d'être expert en cybersécurité. Les 8 actions qui suivent couvrent l'essentiel et protégeront votre site contre la grande majorité des menaces. Prenez une heure pour les appliquer, vous dormirez beaucoup plus tranquille.

C'est la règle la plus importante et la plus négligée. Chaque mise à jour de WordPress, de vos plugins et de votre thème corrige des failles de sécurité. Un site avec des plugins obsolètes, c'est comme une maison avec la porte grande ouverte. Le plugin Revolution Slider, non mis à jour sur des milliers de sites, a été responsable de piratages massifs en 2023. Activez les mises à jour automatiques pour le core WordPress dans les réglages. Pour les plugins, WordPress permet aussi l'auto-update depuis la version 5.5 : allez dans Extensions et activez les mises à jour automatiques pour chaque plugin. Supprimez les plugins et thèmes que vous n'utilisez pas. Un plugin désactivé mais présent sur votre serveur reste une faille potentielle. Si vous avez peur qu'une mise à jour casse votre site, utilisez un environnement de staging pour tester d'abord. C'est mieux que de laisser des failles ouvertes pendant des mois.

Le brute force, c'est la méthode la plus basique des hackers : essayer des milliers de combinaisons de mots de passe. Si votre mot de passe admin est "admin123" ou "motdepasse", votre site sera piraté en quelques minutes. Utilisez un mot de passe d'au moins 16 caractères avec des majuscules, minuscules, chiffres et caractères spéciaux. Un gestionnaire de mots de passe comme Bitwarden (gratuit) ou 1Password génère et stocke des mots de passe inviolables. Changez aussi le nom d'utilisateur par défaut "admin" pour quelque chose de moins prévisible. L'authentification à deux facteurs (2FA) ajoute une couche de sécurité décisive. Même si quelqu'un devine votre mot de passe, il lui faudra aussi le code temporaire de votre téléphone. Le plugin WP 2FA ou Wordfence Login Security ajoutent le 2FA gratuitement. Avec Google Authenticator sur votre smartphone, c'est configuré en 5 minutes. Le 2FA bloque 99,9 % des attaques par brute force.

Un plugin de sécurité agit comme un gardien pour votre site WordPress. Wordfence est le plus populaire avec plus de 4 millions d'installations. Sa version gratuite inclut un pare-feu applicatif, un scanner de malwares, le blocage des IP malveillantes et des alertes par email. Le pare-feu analyse chaque requête et bloque celles qui sont suspectes avant qu'elles n'atteignent WordPress. Le scanner vérifie vos fichiers contre les versions officielles et détecte les modifications suspectes. Sucuri Security est une alternative solide avec un scanner côté serveur et un pare-feu cloud en version payante. iThemes Security (maintenant Solid Security) est aussi très complet avec plus de 30 mesures de protection. Ne cumulez pas plusieurs plugins de sécurité, un seul suffit et ils peuvent entrer en conflit entre eux. Configurez les alertes email pour être prévenu en cas de tentative d'intrusion ou de modification suspecte de fichier. Et activez le blocage automatique après 3 à 5 tentatives de connexion échouées.

La sauvegarde, c'est votre filet de sécurité. Si votre site est piraté malgré toutes vos précautions, une sauvegarde récente vous permet de tout restaurer en quelques minutes au lieu de tout reconstruire. UpdraftPlus est le plugin de sauvegarde le plus utilisé. La version gratuite sauvegarde automatiquement vos fichiers et votre base de données vers Google Drive, Dropbox ou Amazon S3. Programmez une sauvegarde quotidienne de la base de données et hebdomadaire des fichiers. Conservez au minimum 3 semaines de sauvegardes : un piratage n'est pas toujours détecté immédiatement, et vous pourriez avoir besoin de revenir à une version antérieure à l'infection. Testez régulièrement la restauration. Une sauvegarde qui ne se restaure pas ne sert à rien. Ne stockez jamais vos sauvegardes uniquement sur le même serveur que votre site : si le serveur est compromis, vos sauvegardes le sont aussi. L'idéal est de combiner la sauvegarde de votre hébergeur avec une sauvegarde externe via un plugin.

Les permissions de fichiers Linux déterminent qui peut lire, écrire et exécuter chaque fichier sur votre serveur. Des permissions trop permissives ouvrent la porte aux modifications malveillantes. La règle : les dossiers doivent être en 755 et les fichiers en 644. Le fichier wp-config.php, qui contient vos identifiants de base de données et vos clés secrètes, doit être en 440 ou 400 pour que seul le serveur puisse le lire. Sur cPanel, vous pouvez vérifier et modifier les permissions via le gestionnaire de fichiers. En FTP avec FileZilla, faites un clic droit sur le fichier et sélectionnez "Permissions". Ajoutez aussi ces lignes dans votre .htaccess pour protéger wp-config.php des accès directs via le navigateur. Désactivez l'éditeur de fichiers intégré à WordPress en ajoutant define("DISALLOW_FILE_EDIT", true) dans wp-config.php. Ça empêche un attaquant qui accède à votre tableau de bord de modifier les fichiers de vos plugins ou de votre thème.

Par défaut, la page de connexion WordPress est accessible à /wp-admin ou /wp-login.php. Tous les bots et hackers le savent. En changeant cette URL, vous éliminez la majorité des tentatives de brute force automatisées. Le plugin WPS Hide Login (gratuit, plus d'un million d'installations) permet de changer l'URL de connexion en un clic. Remplacez /wp-login.php par quelque chose comme /mon-acces-secret ou /connexion-site. Les bots qui tentent d'accéder à /wp-admin tomberont sur une erreur 404 au lieu de votre formulaire de connexion. C'est une mesure simple mais efficace. Attention cependant : notez bien votre nouvelle URL de connexion quelque part. Si vous l'oubliez, vous ne pourrez plus accéder à votre tableau de bord sans désactiver le plugin via FTP. Combinez cette mesure avec le 2FA et la limitation des tentatives de connexion, et votre page de login devient quasi impénétrable pour les attaques automatisées.

Un WAF (Web Application Firewall) filtre le trafic malveillant avant qu'il n'atteigne votre site. Cloudflare propose un WAF gratuit qui bloque les attaques DDoS, les bots malveillants et les tentatives d'exploitation de failles connues. Activez Cloudflare en mode gratuit, configurez les règles de sécurité, et vous ajoutez une couche de protection significative. Le mode "Under Attack" est particulièrement utile si vous subissez une attaque ciblée. Côté surveillance, installez le plugin WP Activity Log pour tracer toutes les activités sur votre site : connexions, modifications de contenu, installations de plugins. En cas de piratage, ce journal vous permet de comprendre ce qui s'est passé et quand. Configurez aussi Google Search Console pour recevoir des alertes si Google détecte un malware sur votre site. Un monitoring uptime avec UptimeRobot (gratuit) vous prévient si votre site tombe, ce qui peut être le signe d'une attaque. La sécurité, c'est un processus continu, pas une action ponctuelle.