Guide technique complet pour sécuriser un site sous WordPress
WordPress est le CMS le plus populaire au monde, alimentant plus de 40 % des sites web. Cette popularité en fait également une cible privilégiée pour les pirates informatiques. Chez Madagascar Internet, nous mettons l’accent sur la sécurité à chaque niveau d’hébergement, mais il est essentiel que chaque utilisateur applique les bonnes pratiques de durcissement WordPress. Ce guide vous détaille les mesures techniques à mettre en œuvre pour sécuriser efficacement votre site.
1. Mettre à jour régulièrement le cœur, les extensions et les thèmes
Chaque mise à jour WordPress corrige des vulnérabilités identifiées. Reporter ou ignorer ces mises à jour expose votre site à des risques de piratage. Appliquez systématiquement les mises à jour suivantes :
- WordPress Core : activez les mises à jour automatiques en ajoutant dans le fichier
wp-config.php:define( 'WP_AUTO_UPDATE_CORE', true );
- Extensions et thèmes : mettez-les à jour via le tableau de bord, ou désactivez-les s’ils ne sont plus maintenus par leur éditeur.
- PHP : utilisez une version récente et stable (modifiable depuis votre cPanel).
⚠️ Les extensions obsolètes représentent à elles seules plus de 50 % des failles de sécurité WordPress recensées.
2. Sécuriser les identifiants et limiter les accès
Les attaques par force brute ciblent la page /wp-login.php et les comptes administrateurs faibles. Pour réduire les risques :
- Supprimez le compte admin par défaut et créez un utilisateur avec un nom unique.
- Utilisez un mot de passe long, complexe et unique.
- Activez la double authentification (2FA) avec des outils comme Wordfence, WP 2FA ou Google Authenticator.
- Limitez les tentatives de connexion via Limit Login Attempts Reloaded ou équivalent.
- Restreignez l’accès à la page de connexion à certaines adresses IP via un fichier
.htaccess.
3. Durcir la configuration du fichier wp-config.php
Le fichier wp-config.php est le cœur de votre site WordPress. Il contient les identifiants de base de données et les clés de sécurité.
- Déplacez ce fichier en dehors du répertoire public (au-dessus de
public_html). - Définissez des clés de sécurité uniques depuis le générateur officiel WordPress.
- Attribuez les permissions
600au fichier via cPanel ou FTP. - Désactivez l’édition de fichiers depuis l’administration :
define( 'DISALLOW_FILE_EDIT', true );
4. Configurer correctement les permissions de fichiers
Des droits trop permissifs permettent à un script malveillant de modifier ou d’injecter du code dans vos fichiers.
/wp-content/et autres répertoires : 755- Fichiers : 644
wp-config.php: 600
5. Installer un pare-feu et scanner de sécurité
Un pare-feu d’application (WAF) bloque les attaques avant qu’elles n’atteignent WordPress. Nos serveurs intègrent déjà ModSecurity, un pare-feu côté serveur analysant en temps réel les requêtes suspectes.
Pour renforcer la sécurité côté site :
- Wordfence Security : protection en temps réel, filtrage IP, scan de fichiers modifiés.
- iThemes Security : durcissement global, blocage d’adresses IP, changement d’URL d’administration.
- All In One WP Security : interface claire, contrôle des permissions et détection de modifications suspectes.
6. Forcer l’utilisation du HTTPS
Tous nos hébergements intègrent un certificat SSL gratuit via AutoSSL. Le protocole HTTPS chiffre les échanges entre le visiteur et le serveur, et améliore le référencement.
Ajoutez ces lignes à votre fichier .htaccess :
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
7. Sauvegardes régulières et plan de restauration
Aucune sécurité n’est absolue sans sauvegarde. Conservez toujours plusieurs copies de votre site (fichiers + base de données).
- Utilisez le module Backup Wizard de votre cPanel.
- Planifiez des sauvegardes automatiques via UpdraftPlus ou All-in-One WP Migration.
- Stockez une copie en dehors du serveur (Google Drive, Dropbox, disque externe).
8. Nettoyer et surveiller régulièrement le site
La vigilance est essentielle à long terme :
- Supprimez les plugins et thèmes inutilisés.
- Analysez les fichiers à l’aide d’un scanner de sécurité intégré (Wordfence, iThemes).
- Vérifiez les journaux d’accès et d’erreurs dans cPanel pour repérer toute activité anormale.
- Surveillez la taille de vos fichiers : une augmentation soudaine peut signaler une infection.
9. Renforcer la base de données
La base MySQL contient toutes les informations de votre site. Quelques ajustements simples peuvent la rendre plus résistante :
- Changez le préfixe de table par défaut (
wp_) lors de l’installation ou via un plugin de sécurité. - Utilisez un mot de passe de base de données fort et unique.
- Limitez l’accès MySQL à
localhostuniquement.
10. Surveiller la santé du site
WordPress intègre un outil de diagnostic utile : Site Health (dans “Outils > Santé du site”). Il affiche les points faibles, les extensions vulnérables et les recommandations de performance.
11. En cas d’infection ou de piratage
Si votre site a été compromis :
- Changez immédiatement tous les mots de passe (WordPress, FTP, MySQL, cPanel).
- Restaurez une sauvegarde saine depuis votre espace cPanel.
- Scannez le site avec Wordfence et supprimez les fichiers suspects.
- Contactez notre support technique pour assistance et analyse approfondie.
12. Bonus : renforcer la sécurité via le serveur
Nos serveurs utilisent plusieurs couches de protection :
- ModSecurity : bloque automatiquement les requêtes suspectes.
- CSF Firewall : pare-feu intelligent limitant les connexions indésirables.
- cPHulk : empêche les tentatives de connexion répétées sur les comptes d’hébergement.
En résumé
Sécuriser un site WordPress n’est pas une action ponctuelle, mais un processus continu. En appliquant ces mesures — mises à jour, durcissement des accès, sauvegardes, surveillance et pare-feu — vous réduirez considérablement les risques d’intrusion. Chez Madagascar Internet, nous vous accompagnons dans cette démarche afin que votre présence en ligne reste performante, fiable et sécurisée.
