Security Blog

Comment protéger WordPress efficacement : une liste de choses à faire


English version: How to protect WordPress effectively: a must-do list


Une liste de choses à faire pour obtenir une protection haute sécurité et durable pour votre site Web.

Pour tirer le meilleur parti des algorithmes de sécurité de WP Cerber, vous devez configurer tous les paramètres ci-dessous. Faites-le de manière réfléchie, car certains paramètres peuvent entrer en conflit avec un autre plugin ou avec les paramètres de votre serveur Web. En cas de problème, consultez le journal d'activité pour les événements associés tels que les demandes refusées ou les adresses IP bloquées. Veuillez noter que certaines des fonctionnalités décrites ci-dessous ne sont disponibles que dans la version professionnelle .

1. Activer les mises à jour automatiques

Les mises à jour régulières de WP Cerber sont cruciales pour une sécurité renforcée de WordPress, car nous améliorons continuellement ses algorithmes, mettons en œuvre une protection contre les menaces émergentes et corrigeons les bogues logiciels. Vous pouvez les activer en quelques clics : Comment activer les mises à jour automatiques pour WP Cerber .

2. Vérifiez les paramètres principaux

  1. Accédez à la page "Paramètres principaux"
  2. Réglez « Charger le moteur de sécurité » sur « Mode standard »
  3. Configurer "URL de connexion personnalisée"
  4. Réglez « Traitement des demandes d'authentification wp-login.php » sur « Bloquer l'accès à wp-login.php » ou, ce qui est plus avancé, sur « Refuser l'authentification via wp-login.php »
  5. Activez "Bloquer immédiatement l'adresse IP lorsque vous tentez de vous connecter avec un nom d'utilisateur inexistant"
  6. Activez « Désactiver la redirection du tableau de bord »
  7. Activez éventuellement "Bloquer immédiatement l'IP après toute demande à wp-login.php"

3. Activez les politiques de sécurité dans l'onglet Renforcement

L'ensemble minimal de paramètres que vous devez activer dans la section Hardening WordPress :

  1. "Arrêter l'énumération des utilisateurs"
  2. "Empêcher la découverte du nom d'utilisateur via oEmbed"
  3. "Empêcher la découverte du nom d'utilisateur via les plans de site XML utilisateur"
  4. "Bloquer l'accès aux pages des utilisateurs via leurs noms d'utilisateur"
  5. "Bloquer l'exécution des scripts PHP dans le dossier média WordPress"
  6. "Désactiver l'affichage des erreurs PHP"
  7. "Désactiver XML-RPC"

Il est recommandé d'activer les paramètres suivants dans la section Accès à l'API REST WordPress :

  1. "Arrêter l'énumération des utilisateurs / Bloquer l'accès aux données utilisateur via l'API REST"
  2. "Désactiver l'API REST"
  3. "Autoriser l'API REST pour les utilisateurs connectés"

Lire la suite : Restreindre l'accès à l'API REST

4. Activer le pare-feu Traffic Inspector

  1. Réglez « Activer l'inspection du trafic » sur « Sécurité maximale »
  2. Réglez « Activer la protection contre les erreurs » sur « Sécurité maximale »

5. Activez les analyses programmées des logiciels malveillants et la suppression automatique des logiciels malveillants

Dans l'onglet Paramètres , les paramètres suivants doivent être activés

  1. "Analyser le répertoire temporaire"
  2. "Analyser le répertoire des sessions"

Dans l'onglet Nettoyage :

  1. Vous devez activer : "Supprimer les fichiers sans assistance", "Récupérer les fichiers WordPress", "Récupérer les fichiers des plugins"
  2. Toutes les cases dans les paramètres "Fichiers dans le dossier de téléchargement" doivent être cochées

6. Activez la protection anti-spam même si vous pensez que vous n'en avez pas besoin

Dans l'onglet Moteur antispam , nous vous conseillons d'activer les paramètres suivants :

  1. "Formulaire de commentaire (Protéger le formulaire de commentaire avec le moteur de détection de robots)"
  2. "Formulaire d'inscription (Protéger le formulaire d'inscription avec le moteur de détection de robots)"
  3. "Autres formulaires (Protégez tous les formulaires du site Web avec un moteur de détection de robots)"

7. Utilisez les règles GEO : bloquez les pays avec lesquels vous n'aurez pas d'accord

Sur la page d'administration des règles de sécurité , configurez les politiques GEO pour les pays autorisés à interagir avec votre site Web : soumission de formulaires, possibilité de se connecter ou de s'inscrire, etc. Ces paramètres n'empêchent pas les moteurs de recherche d'indexer le site Web.

8. Renommez le dossier des plugins WordPress

Changer le nom du dossier des plugins est l’un des moyens les plus sous-estimés pour renforcer votre protection WordPress. Et pourtant, c'est gratuit et facile.

Lire la suite : Comment renommer le dossier des plugins WordPress

9. Activer l'authentification à deux facteurs

Pour protéger les comptes d'utilisateurs, activez l'authentification à deux facteurs (2FA). Il fournit une couche de sécurité supplémentaire nécessitant un deuxième facteur d'identification au-delà du simple nom d'utilisateur et du mot de passe.

Lire la suite : Comment activer l'authentification à deux facteurs pour WordPress


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.