Comment Sécuriser son Site Internet WordPress de A à Z ?

Protéger et sécuriser site wordpress

Faire un site un internet simple, efficace, rapide et attractif est déjà une belle performance.

Mais s'assurer que par la suite aucune personne mal intentionnée (soyons clair : un gros conn***) ne s'attaque à votre site afin de profiter de votre dur labeur en est une autre...

Alors comment sécuriser son site internet wordpress pour s'éviter de grosses frayeurs ?

Allez, je vous explique les meilleures méthodes pout sécuriser et protéger son site wordpress, c'est cadeau !

Activer le SSL sur O2switch pour sécuriser WordPress

Let's Encrype SSL pour activer https sur O2switch

Si vous me suivez depuis un moment, vous savez que je travaille avec l’hébergeur Français O2Switch depuis quelques années.

Je vous invite d’ailleurs à découvrir mon article sur les 8 raisons de choisir l’hébergeur O2SWITCH au rapport qualité/prix exceptionnel.

La première étape à réaliser dans votre projet de sécurisation de votre site wordpress, c’est d’activer le certificat SSL chez votre hébergeur.

Le certificat est généré par Let’s Encrypt. Il s’agit d’un certificat SSL gratuit.

Cela consiste à sécuriser le chiffrement des données de votre site qui passera alors du simple « http » au « https ».

Pour activer le SSL chez O2switch avec Let’s Encrypt pour votre site wordpress, c’est très simple :

  1. Sur votre CPANEL, cherchez et cliquez sur « Let’s Encrypt SSL »
  2. Dans la partie « Générer un nouveau certificat » identifiez votre nom de domaine,
  3. Sur la ligne du domaine, cliquez sur « Générer »
  4. Sur la nouvelle page qui s’affiche, cliquez à nouveau, en bas, sur « Générer » en laissant les paramètres par défaut.

Et voilà, vous avez activé le certificat SSL de votre site et celui-ci doit désormais s’afficher avec un joli « https »

Ici, je vous ai parlé du certificat SSL d’O2SWITCH mais si vous êtes chez OVH, IONOS ou tout autre hébergement, vous pourrez également trouver l’outil qui permet d’activer le certificat SSL et donc, le https de votre site.

Activer SSL avec un plugin

Really Simple SSL le plugin pour activer https wordpress

Si vous n’avez pas accès à l’hébergement du site, ou si vous ne trouvez vraiment pas comment faire, il existe toujours un plugin pour vous permettre d’arriver à vos fins.

Et oui, sur wordpress, à chaque problème son plugin !

Le plugin qui nous intéresse aujourd’hui est Really Simple SSL que vous pourrez récupérer gratuitement ici.

Installez-le sur votre wordpress et activez-le.

Allez ensuite dans le menu Wordress -> Réglages -> SSL

Configurer Really Simple SSL pour Wordress et activer le HTTPS

Sur cette page, identifiez le bouton « Activer SSL » et cliquez dessus.

Activer SSL avec Really Simple SSL

Suivez les étapes, validez et c’est terminé !

Votre site wordpress dispose désormais de son certificat SSL !

Activer le SSL sur WordPress

Pour activer le https sur wordpress, il faut également vous rendre dans les réglages généraux.

activer https wordpress

Une fois dans les paramètres généraux, un peu plus bas vous trouverez deux lignes avec l’adresse de votre site web :

  • Adresse web de WordPress (URL) :
  • Adresse web du site (URL) :

C’est très simple : si ce n’est as déjà le cas, il vous suffit d’ajouter le « s » au bout du http sur chaque ligne.

Enregistrez en bas. C’est terminé !

Bloquer l’accès au dossier d’installation pour sécuriser son site internet wordpress

Lorsque vous installez un site wordpress, vous devez créer un dossier chez votre hébergeur. La plupart du temps, l’hébergeur propose un outil d’installation de wordpress et s’occupe de tout en quelques minutes.

Un dossier est donc créé dans lequel vont se trouver tous les fichiers et dossiers nécessaires au fonctionnement de WordPress.

Vous l’avez compris, c’est le coeur de votre site. Si une personne mal intentionnée devait avoir accès à ce dossier, elle pourrait fortement nuire à votre activité…

Il faut donc s’assurer que PERSONNE ne puisse consulter les éléments présents dans le dossier d’installation de votre site.

Vérifier si le dossier d’installation WordPress est accessible

Pour vérifier si l’accès à votre dossier est bien restreint, on va tout simplement essayer d’ouvrir un répertoire dans un onglet en mode navigation privée de votre navigateur web préféré (chrome, firefox, safari…).

Pour identifier un dossier, nous allons simplement utiliser les images importées.

Pour cela, allez dans les réglages WordPress :

Sécuriser l'accès au répertoire en tentant d'accéder aux dossiers d'images de wordpress.

Cliquez sur la médiathèque WordPress.

Cliquez sur l’une de vos images dans le dossier et, en bas à droite des détails de l’image, trouvez l’adresse du répertoire.

Copiez le lien jusqu’au dossier wp-content ou upload :

Vérifier un dossier WordPress

Si vous arrivez sur une page d’erreur 404 « page non trouvée » alors bonne nouvelle, vous n’avez plus rien à faire !

En revanche, si vous tombez sur une liste de dossiers sur lesquels vous pouvez cliquer et qui affichent d’autres dossiers… Suivez l’étape suivante !

Bloquer l’accès aux dossiers et répertoires WordPress

Pour pouvoir empêcher l’accès aux répertoires de WordPress, vous allez devoir mettre les mains dans le cambouis.

Tout d’abord, vous devez accéder au dossier qui contient tous lesdits répertoires.

Pour cela, vous pouvez vous connecter à celui-ci à l’aide d’un client FTP ou, si vous êtes chez O2switch allez dans le CPANEL, cliquez sur « Gestionnaire de fichiers » puis à gauche cherchez et cliquez sur un dossier nommé avec votre nom de domaine (pour moi, le dossier s’appelle alexis-roze.com).

Une fois sur cette page, trouvez le fichier « .htaccess » puis faites un clic droit dessus et cliquez sur « éditer ». Une modale d’ouvre, cliquez sur « edit ».

Vous pouvez également modifier votre fichier .htaccess en le téléchargeant sur votre ordinateur et en l’ouvrant avec un éditeur de texte comme le Bloc-notes.

Maintenant ajoutez simplement cette ligne dans votre fichier .htaccess (en bas):

1Options -Indexes

Enregistrez votre fichier. Si vous l’avez édité après l’avoir téléchargé, il va falloir remettre le nouveau fichier dans votre dossier wordpress en le ré-important et en écrasant l’ancien.

Et voilà !

Vos dossiers et répertoires wordpress sont désormais inaccessibles et toute tentative d’accès à ceux-ci par des personnes non enregistrées et non autorisées provoquera une erreur 404 🙂

Activer un plugin de sécurité des commentaires (akismet)

Le plugin Akismet Anti-spam bloquera les commentaires indésirables sur votre blog.

Si vous décidez d’utiliser la fonction blog de votre site wordpress et d’autoriser les commentaires, vous aurez besoin d’un anti spam pour éviter les nombreux commentaires indésirables de publicité, spams et arnaques en tout genre (sauf si vous voulez faire la promotion du viagra ahah).

Pour cela et par défaut, wordpress installe le plugin AKISMET.

Je vous conseille de le garder si vous avez un usage personnel de votre blog (gratuit dans ce cas là).

Sinon, vous devrez payer le plugin pour un usage professionnel (c’est mon cas).

Installer et configurer Akismet Anti-spam

Une fois installé et activé sur votre wordpress, suivez les étapes de configuration :

Après avoir cliqué sur « configurer votre compte akismet » vous êtes redirigé vers le site du plugin et vous devez choisir votre plan.

Prenez « Personal » et saisissez le montant de votre don (vous pouvez mettre 0€).

Créez votre compte et récupérez votre clé API. Saisissez-là sur votre wordpress.

Si vous ne savez plus où cela se fait, allez dans le menu WordPress de gauche, cliquez sur « réglages » puis « Akismet Anti-Spam ».

Saisissez votre API et appliquez ces réglages :

Enregistrez les modifications, et c’est tout bon pour la partie sécurisation des commentaires WordPress.

Changer l’adresse de connexion d’administration de WordPress

Vous ne le savez peut-être pas, mais par défaut, TOUS les sites wordpress ont la même adresse de connexion au format : https://monnomdedomaine.fr/wp-admin

Par conséquent, les pirates qui souhaitent tenter de forcer le passage, vont tester en priorité d’accéder à votre page de connexion en rajoutant simplement /wp-admin à la suite du domaine de votre site.

Pour éviter cela, il existe un plugin très simple à utiliser qui s’appelle WPS Hide login téléchargeable gratuitement ici.

Vous pourrez également le trouver depuis votre wordpress en allant dans « extensions » puis « ajouter ».

Installez-le et activez-le.

Ensuite, rendez-vous dans le menu WordPress puis dans « réglages » et enfin « Général ».

Tout en bas de la page, un nouveau paramètre est disponible nommé « WPS HIDE LOGIN« .

Il vous suffit alors de modifier l’URL de connexion en saisissant ce que vous voulez à la place du fameux « wp-login ».

NOTEZ-LE quelque part.

Ne touchez pas à l’URL de redirection.

Enregistrez.

Vous êtes ensuite déconnecté et invité à vous connecter via la nouvelle adresse que vous venez de définir.

Ajouter la nouvelle adresse à vos favoris.

Activer un plugin de sécurité pour le site

Comme je le disais précédemment, à chaque problème ou besoin sur wordpress, il existe un plugin.

Pour la sécurité, il en existe plusieurs excellents comme Wordfence ou ithemes security.

Pour ma part j’ai choisis Wordfence qui propose une version gratuite amplement suffisante.

Grâce à ce plugin vous pourrez, entre autre :

  • être alerté de tentatives de connexions anormales
  • être alerté des connexions de vos éventuels collaborateurs
  • être alerté lorsque des plugins ou thèmes ne sont pas à jour
  • bloquer les tentatives de connexions anormales…

Installation et configuration de Wordfence pour wordpress

Allez dans « extensions » et cliquez sur « ajouter extension ».

Cherchez « Wordfence », installez-le, activez-le.

Installer Wordfence sur WordPress pour sécuriser son wordpress

Aussitôt après l’installation, une fenêtre s’ouvre. Saisissez votre meilleur email, c’est sur celui-ci que vous recevrez les alertes de sécurité.

Paramétrer le plugin Wordfence

À la page suivante, le plugin vous propose de passer en version premium (payante) : cliquez sur le petit bouton « no thanks ».

Une fois terminé, vous retrouverez le plugin Wordfence dans le menu de gauche :

Cliquez dessus.

Vous devez ensuite avoir ce message qui s’affiche en haut de la page cliquez sur « click here to configure » :

Ensuite, cliquez sur « download .htaccess » (oui, encore lui ^^). Puis cliquez sur « suivant ».

Le fichier téléchargé est un secours. Gardez-le quelque part au chaud ;).

Enfin, cliquez sur « close ».

Inutile d’aller plus loin. Le plugin fera le job tel quel.

Créez un mot de passe UNIQUE

Pour finir, et c’est certainement le plus important… N’utilisez pas le même mot de passe partout !

Personnellement, j’ai un mot de passe différent par site !

Chaque mot de passe fait au moins 30 caractères et inclus des majuscules, minuscules, chiffres, caractères spéciaux…

Vous me trouvez maso ? Excessif ?

Regardez en combien de temps un mot de passe peut-être craqué grâce aux ordinateurs de plus en plus puissants et selon son niveau de complexité. Cela varie de quelques secondes à plusieurs centaines d’années :

Durée pour craquer un mot de passe

Pour créer des mots de passes uniques et très complexes pour chacun de vos sites sans devoir vous en rappeler ou les noter sur un post-it, utilisez un gestionnaire de mot de passe de qualité !

Personnellement, j’utilise l’excellent LASTPASS qui démarre gratuitement.

Pour conclure

Comme toujours avec WordPress, créer un site n’est pas forcément compliqué.

C’est tout ce qui va autour qui l’est plus ou moins afin d’avoir le site wordpress le plus performant et le plus sécurisé possible.

Je vous invite vivement à suivre l’ensemble des conseils prodigués dans cet article.

Vous pouvez même aller plus loin en mettant en place une connexion à double facteur (des plugins existent pour ça !)

Voilà, au travail maintenant !

Avis 5/5 - (7 votes)

Cet article vous a aidé ? Partagez le !