La sécurisation d’un site WordPress est essentielle pour protéger ses données sensibles (et celles de vos clients) et se prémunir contre les attaques des hackers. Dans cet article, je vous propose un guide détaillé pour installer et configurer Solid Security Basic afin de mettre en place une protection efficace de votre site. Suivez ces étapes simples pour renforcer la sécurité de votre site web et préserver votre réputation en ligne.
Pourquoi sécuriser son site WordPress
Les risques liés à la sécurité d’un site WordPress
En moyenne, 30000 sites sont piratés par jour selon Zippia.com et les sites WordPress sont souvent pris pour cible en raison de leur popularité.
Les risques liés à la sécurité d’un site WordPress incluent :
- Les attaques des hackers : ils peuvent exploiter les failles de sécurité de votre site pour accéder à vos données sensibles.
- Les tentatives de piratage : les pirates peuvent utiliser des techniques de force brute pour tenter de deviner vos identifiants de connexion admin.
- Les vols de données sensibles : vos données clients, adresses e-mails et autres informations sensibles peuvent être compromises si votre site n’est pas suffisamment sécurisé.
Les conséquences d’une mauvaise sécurité
Une mauvaise sécurité de votre site WordPress peut avoir des conséquences néfastes pour votre entreprise :
- Perte de données et de la réputation : si votre site est piraté et que vos données sont perdues ou compromises, cela peut entraîner une perte de confiance de la part de vos clients et nuire à votre réputation en ligne.
- Impact sur le référencement et le trafic du site : un site piraté ou compromis peut être pénalisé par les moteurs de recherche, ce qui peut entraîner une baisse de trafic et de visibilité.
Il est donc crucial de prendre des mesures pour sécuriser votre site WordPress et protéger vos données sensibles.
Solid Security Basic : le plugin WordPress de sécurité par excellence
Solid Security Basic, qui a changé de nom en Octobre 2023 (Ithèmes Security) est pour moi une évidence. Je travail avec ce plugin depuis mes début et il ne m’a jamais déçu. Le mieux ? la version gratuite est largement suffisante.
Pour information, Solid Security, c’est (en Octobre 2023)
- Plus de 900 000 installations actives
- Une note moyenne de 4.5/5 (avec environ 4000 votes)
- Un plugin en version 9.0.0
- 20 langues supportées
- Des mises à jour régulières
Installation du plugin sur WordPress
Pour installer le plugin Solid Security Basic sur votre site WordPress, suivez ces étapes :
- Téléchargez le plugin depuis le répertoire WordPress ou depuis le site du développeur.
- Accédez à l’interface d’administration de votre site WordPress et naviguez jusqu’à la section « Extensions » et « Ajouter »
- Dans le champs de recherche, saisissez « Solid Security Basic »
- Cliquez sur le bouton « Installer maintenant » puis sur « Activer »
Le plugin Solid Security Basic est maintenant installé et prêt à être configuré pour sécuriser votre site WordPress.
Configuration de base du plugin de sécurité WordPress
L’extension propose un assistant pour sa configuration, autant l’utiliser.
Réglages basiques
- Choisissez le type de site que vous possédez. Dans mon cas « Vitrine »
- L’assistant propose d’activer la vérification de sécurité Pro
- Cochez la case et cliquez sur Suivant
- Sélectionnez sur l’écran suivant, « Mon propre site »
- Politique de mots de passe forts, cliquez bien entendu sur oui puis suivant
Réglages généraux
Aucune difficulté sur cet écran. Il permet au propriétaire du site d’être bien reconnu et non blacklisté
- Cliquez sur les boutons « Autoriser mon adresse IP » et « Vérifier l’adresse IP »
- Une fois effectué, cliquez sur suivant
Fonctionnalités
Sécurisation de connexion
Couche supplémentaire de sécurité, vous pouvez activer la double authentification pour la connexion de vos utilisateurs (et vous-même). Personnellement, je ne l’active pas car trop contraignant.
Pare-feu
Je vous conseille d’activer tous les paramètres.
- Pare-feu : Un pare-feu surveille simplement le trafic entrant et sortant sur un appareil, en recherchant tout signe d’activité malveillante. S’il détecte quelque chose de suspect, il le bloque instantanément pour l’empêcher d’atteindre sa destination.(Kinsta)
- Force brute locale : Il offre une protection contre les tentatives d’accès à votre site où l’attaquant tente de deviner encore et encore les noms d’utilisateur et les mots de passe. Les attaquants sont bannis conformément aux règles de verrouillage spécifiées localement sur votre site WordPress.
- Réseau de force brute : Même principe qu’au-dessus mais une protection supplémentaire car vous partagé un fichier de blocage avec tous les utilisateurs du réseau.
Groupes
A vous de voir pour cette section. Si vous avez un simple site vitrine où seul vous avez accès au site alors utilisez l’option « Groupes d’utilisateurs par défaut » si vous possédez un site avec espace membre par exemple, il peut être judicieux d’utiliser l’autre option.
Mes conseils :
- Activez tous les paramètres pour l’administrateur (gestion du plugin, les tableaux de bords, mots de passe forts et refuser les mots de passe compromis)
- Désactivez la gestion du plugin et les tableaux de bords pour les autres profils
Notifications
Ce réglage permet de notifier l’administrateur et d’autres profils (si besoin) au cas de blocage et autres soucis.
Félicitations : Votre site a déjà de bonnes bases de sécurité ! Mais il est temps d’aller plus loin.
Configuration avancée du plugin de sécurité WordPress
Maintenant que tous les réglages de base sont terminés, passons à la configuration avancée de l’extension Solid Security.
Réglages généraux
- Minutes de blocage : Durée pendant laquelle un utilisateur est bloquer s’il a fait trop de tentatives. Vous pouvez laissez cette valeur mais augmentez là si vous constatez des tentatives de piratage
- Jours de mémorisation : Idem que le point décrit au-dessus.
- Bloquer les récidivistes : Laissez coché la case
- Seuil : A augmenter si vous constatez des tentatives de piratage
Rien de particulier sur ces réglages. Il suffit juste de traduire les contenus si besoin.
Voici les traductions :
- Erreur
- Vous avez été bloqué suite à un trop grand nombre de tentatives de connexion invalides.
- Votre adresse IP a été signalée comme menace par le réseau Solid Security.
Vous pouvez autoriser ici votre adresse IP (qui normalement l’a déjà été fait depuis l’assistant). Vous pouvez également ajouter d’autres adresses IP.
Cet écran permet de paramétrer le nombre de jours pendant lesquels vous garder les logs. Plus vous conservez de logs plus cela ajoute des données dans la base de données. Je vous conseille de passer à 30 jours de journalisation.
Aucune incidence sur la sécurité de votre site pour l’écran ci-dessus. Personnellement, je préfère désactiver les plugins dans la barre d’administration pour éviter de la polluer.
Fonctionnalités
La plupart des réglages ont été réalisée avec l’assistant (notamment les sections Sécurisation et Pare-feu mais vous pouvez revenir ici pour modifier les paramètres)
L’analyse de site permet de lancer des tâches planifiées afin de vérifier s’il n’y a pas eu de problèmes sur votre site.
Attention :
- Altération de fichiers : Vous recevrez des alertes même si c’est vous qui faites les modifications. Il ne faut donc pas l’activer quand vous travaillez dessus.
- Planification d’analyse de site : Fonctionnalité qui peut être gourmande en ressources. En effet, le plugin va analyser le site 2 fois par jour pour détecter d’éventuelles menaces.
- Forcer le SSL : Si vous avez bien installé votre certificat SSL, il ne devrait pas avoir besoin d’activer cette option.
- Sauvegarde : Si vous utilisez un bon plugin de sauvegarde (ce que je vous recommande), vous pouvez désactiver cette option.
- Vérification de sécurité Pro : Détecte la bonne méthode pour identifier les adresses IP en fonction de votre configuration serveur en faisant une requête API aux serveurs de SolidWP.com.
Groupes
Je ne vais pas redétailler cette section car nous l’avons déjà évoqué plus haut. Cependant, sachez que vous pouvez à tout moment modifier les accès au plugin et ses fonctionnalités aux différents groupes présents sur votre site ou celui de votre client.
Notifications
Vous pouvez affiner dans ce réglage, les comptes qui recevront les notifications de Solid Security. Vous pouvez par exemple, définir qu’un seul administrateur recevra les notifications de sécurité.
Cette section propose trois types de notifications :
- Les rapports de sécurité (par exemple si une faille est detectée)
- Les verrouillages de site (si une personne fait plus de X erreurs au moment de se logguer)
- La sauvegarde de la BDD
Personnellement, je n’active pas la notification de verrouillage et la notification de sauvegarde car dans le premier cas, lorsqu’il y a une vague de piratage, cela peut polluer rapidement votre boîte mail et dans le deuxième cas, j’utilise un plugin tiers pour la sauvegarde.
Concernant la première notification, je choisis de la recevoir de façon hebdomadaire.
Avancé
Ajustement système
- Protéger les fichiers système : Empêche l’accès public aux fichiers readme.html, readme.txt, wp-config.php, install.php, wp-includes et .htaccess. Ces fichiers peuvent donner des informations importantes sur votre site et n’ont aucune utilité pour vos internautes une fois WordPress correctement installé.
- Désactiver l’exploration des répertoires : Empêche les utilisateurs de voir une liste de fichiers dans un répertoire si aucun fichier d’index est présent.
- Désactiver PHP dans le répertoire « Uploads » : Désactive l’exécution de PHP dans le répertoire des téléchargements. Cela bloque les requêtes PHP malicieuses à l’intérieur du répertoire des téléchargements.
- Désactiver PHP dans les extensions : Désactive l’exécution de PHP dans le répertoire des extensions. Cela bloque les requêtes PHP qui peuvent générer des failles à l’intérieur du répertoire des extensions.
- Désactiver PHP dans les thèmes : Désactive l’exécution de PHP dans le répertoire des thèmes. Cela bloque les requêtes PHP qui peuvent générer des failles à l’intérieur du répertoire des thèmes.
A moins, d’un cas particulier sur votre site, il est préférable de tout cocher.
Ajustements WordPress
- Désactiver l’éditeur de code : Attention, si vous intervenez régulièrement sur les fichiers CSS du site ou si vous mettez les « mains dans le cambouis » de temps à autre, alors il faudra penser à désactiver cette option
- XML-RPC : L’API XML-RPC de WordPress permet à des services externes d’accéder et de modifier le contenu du site. Dans la plupart des cas, cette fonctionnalité sera inutile. Il est donc préférable en terme de sécurité mais également d’optimisation générale de désactiver cette option.
- Utilisateurs : Réglage basique mais efficace contre des tentatives de piratage. Forcez les pseudonymes uniques et désactivez les archives des auteurs inactifs
Déplacer la page de connexion
Simple mais très efficace. Déplacer votre page de connexion (ici j’ai mis ma-page-de-connexion) permettra de limiter les tentatives d’accès par brute force. Car de base, les piratages essaieront l’url : votre-site.com/wp-admin
Fonctionnalités expérimentales
Je vous conseille de ne rien cocher dans cette section si votre site en est production et non pas en développement. Cela pourrait provoquer des erreurs sur votre site web.
Outils
Les réglages du plugin ne sont pas totalement finis ;). Le plugin WordPress de sécurité propose des outils simples permettant d’accroitre encore un peu plus la sécurité du site.
- Modifier le préfixe des tables de base de données : Par défaut, WordPress attribue le préfixe wp_ à toutes les tables de la base de données où se trouvent votre contenu, vos comptes utilisateurs et vos objets. Pour les pirates, cela signifie qu’il est plus facile d’écrire des scripts qui peuvent cibler les bases de données WordPress car les noms des tables importantes sont déjà connues à 95%. En changeant le préfixe wp_, il est plus difficile pour les outils qui tentent de tirer partie des vulnérabilités d’accéder à la base de données de votre site. Avant d’utiliser cet outil, nous vous recommandons vivement de créer une sauvegarde de votre base de données.
- Définir une clé de chiffrement : Solid Security ajoutera la constante
ITSEC_ENCRYPTION_KEY
au fichierwp-config.php
de votre site. Votre site a déjà une clé de chiffrement valide. Utilisez cet outil pour re-chiffrer automatiquement toutes vos clés secrètes avec une nouvelle clé de chiffrement. - Créer un chargeur d’extension MU : Pour une meilleure sécurité et des performances optimisées, Solid Security peut être chargé en tant qu’extension indispensable (MU). Exécutez cet outil pour créer automatiquement l’extension.
- Modifier les clés de salage de WordPress : Change les clés de salage de WordPress utilisés pour sécuriser les cookies et les jetons de sécurité.
Conclusion
La sécurité d’un site WordPress est un aspect essentiel pour protéger ses données sensibles et préserver son référencement (car oui, la sécurité d’un site web est un élément du SEO) En installant et en configurant un plugin de sécurité tel que Solid Security Basic, vous pouvez mettre en place une protection efficace contre les attaques et les piratages.
N’attendez pas, sécurisez dès maintenant votre site WordPress et évitez les mauvaises surprises. Votre site et vos données méritent d’être protégés, alors ne laissez pas les hackers et les pirates prendre le dessus. Suivez ce guide étape par étape et faites de la sécurité de votre site WordPress une priorité.