5 minutes de lecture

Comment améliorer la sécurité de son site WordPress ?

Avatar de Altitude Dev
Publié le 27 / 05 / 2023
par Altitude Dev

 

WordPress n'est pas sécurisé ?

Depuis 2014, je m'efforce de proposer des solutions pour sécuriser votre site WordPress.
La légende selon laquelle WordPress n'est pas sécurisé est totalement fausse, permettez-moi de rectifier cela.

 

Une négligence de la part des agences ou des administrateurs WordPress est en effet l'une des principales causes de problèmes de sécurité.

Cela inclut la négligence des mises à jour, l'utilisation de serveurs mauvais marché ou mutualisés, ainsi que l'utilisation d'une version obsolète de PHP, qui contribuent grandement aux piratages des sites WordPress.

Par exemple, chez ALTITUDE DEV, nos clients bénéficient d'un serveur mutualisé privé. Seuls nos clients sont hébergés sur notre infrastructure dédiée, qui offre des mises à jour automatiques des versions de PHP et de ses dépendances, ainsi que des performances exceptionnelles, une sauvegarde automatique et une surveillance en temps réel en cas de panne ou d'intrusion.

 

Quels plugins sont vivement recommandées pour sécurisé mon site WordPress ?

Sâchez qu'ils sont 100% gratuit, nulle besoin de dépensé le moindre centime ! 

  1. WordFence, le plugin incontournable qui bloquera l'accès aux robots, aux forces brutes de connexion, mais aussi applique diverses règles de firewall, sans compter l'avantage de recevoir une newsletter vous indiquant les tendances sur WordPress et les plugins compromis du moment.

  2. WPS Hide Login, permet de cacher votre url "wp-admin" par default, ce qui réduit drastiquement les tentatives de connexion par force brute et de connaître votre espace d'administration WordPress.

 

Voici quelques codes bien utiles pour votre site WordPress !

 

Masquer les utilisateurs WordPress inscrits en API REST

Ce code à ajouter en functions.php permet de masquer l'API REST des utilisateurs de votre WordPress,  " votreurl.com/wp-json/wp/v2/users ", en effet cet url liste les utilisateurs de votre site WordPress, cela indique au pirate, qu'il possède dèja votre identifiant.. 

Risque: Le pirate peut connaître la totalité des utilisateurs inscrits sur votre site et obtenir les identifiants...
Avantage: La liste de vos utilisateurs est masquée, néanmoins il peut provoqué diverses erreurs avec les API connectées.

add_filter('rest_endpoints', function($endpoints) {
  if (isset($endpoints['/wp/v2/users'])) {
     unset($endpoints['/wp/v2/users']);
   }
 return $endpoints;
});

 

Désactiver le fichier XMLRPC.PHP si vous ne l'utilisez pas.

Il vous suffit de renommer votre fichier en racine d'installation WordPress xmlrpc.php_ afin de désactivé le pingback et les requêtes POST, sinon il est également possible d'ajouter ce code : 

Risque: Le pirate peut executé des requêtes POST souvent assimilée avec du flood (Denis of Service)...
Avantage: les requêtes sont désactivées, néanmoins il peut provoqué diverses erreurs avec les API connectées.

add_filter('xmlrpc_enabled', '__return_false');
 
 

Interdire l'inscription de pseudonymes ou identifiants sur votre site WordPress
Marre de voir des identifiants avec 'tests, admin, modo...' il vous suffit d'ajouter ce code et d'ajouter les pseudos interdits.
 
Risque: Vous risquez de voir des utilisateurs s'inscrire avec des pseudos tel que test1 test2 test3...
Avantage: Fini les comptes faux.

function empecher_inscription_pseudo( $user_id ) {

    $controlRegisters = array();

    while( have_rows('interdictions_dinscriptions', 'options') ) : the_row();
        array_push($controlRegisters, 'admin', 'modo', 'test');
    endwhile;

    $user_data          = get_userdata( $user_id );
    $username           = $user_data->user_login;

    if ( in_array( $username, $controlRegisters ) ) {
        require_once(ABSPATH.'wp-admin/includes/user.php');
        wp_delete_user($user_id);
        wp_die( 'Désolé, ce pseudo est interdit.' );
    }

}
add_action( 'user_register', 'empecher_inscription_pseudo', 10, 1 );
 
 
 
Retiré la version de votre site WordPress, visible dans vos fichiers .css/.js.
Le pirate connaît d'office la version utilisée de votre site WordPress, alors masquer la ! 
 
Risque: Le pirate consulte les changelogs de WordPress, si votre version est connue alors il commencera par la et exploitera les failles de WordPress connues pour s'introduire dans votre site.
Avantage: Vous masquerez complètement votre version WordPress, le pirate aura plus de mal à connaître votre version.
 
remove_action('wp_head', 'wp_generator');
  add_filter('the_generator', 'hide_wp_version');
  function hide_wp_version() {
   return '';
}
 
 

Pour finir, voici quelques conseils supplémentaires :

  • Évite au maximum les plugins qui offrent peu d'avantages ou qui ne sont pas très connus ou maintenus régulièrement.
  • Ne nomme jamais ton identifiant "admin" et évite d'utiliser des mots de passe simples comme "admin" ou "admin123".
  • Ne partage jamais ton URL de connexion en dehors de ton cercle de confiance.
  • Privilégie les thèmes bien conçus ou utilise un thème personnalisé, comme je le fais.
  • Assure-toi d'être toujours à jour avec les plugins, la version de WordPress et le serveur PHP.
  • Bloque la modification de ton fichier .htaccess si possible.
  • Désindexe les fichiers et répertoires de plugins de ton site WordPress.
  • Pense à mettre en place des sauvegardes automatiques pour ton site WordPress.

 

Si cet article t'a plu et que tu appliques ces règles, tu seras bien plus sécurisé, je t'invite à le partager largement et à mettre en pratique les bonnes pratiques de sécurisation de ton site WordPress dès maintenant.

Si tu le souhaites, je propose des services d'hébergement privé, de sécurisation, d'optimisation et de migration de sites WordPress. N'hésite pas à me contacter pour en savoir plus.