Security Blog
Posted By Gregory

Comment protéger efficacement WordPress : une liste de choses à faire absolument

English version: How to protect WordPress effectively: a must-do list


Liste des choses à faire absolument pour obtenir une protection haute sécurité et durable pour votre site web.

Pour tirer pleinement parti des algorithmes de sécurité de WP Cerber, vous devez configurer tous les paramètres ci-dessous. Procédez avec soin, car certains paramètres peuvent entrer en conflit avec d'autres extensions ou avec les paramètres de votre serveur web. En cas de problème, consultez le journal d'activité pour identifier les événements pertinents, tels que les requêtes refusées ou les adresses IP bloquées. Veuillez noter que certaines des fonctionnalités décrites ci-dessous sont disponibles uniquement dans la version professionnelle .

1. Activer les mises à jour automatiques

Les mises à jour régulières de WP Cerber sont essentielles pour une sécurité optimale de WordPress, car nous améliorons constamment ses algorithmes, mettons en place des protections contre les nouvelles menaces et corrigeons les bugs logiciels. Vous pouvez les activer en quelques clics : Comment activer les mises à jour automatiques de WP Cerber .

2. Vérifiez les paramètres principaux

  1. Accédez à la page « Paramètres principaux ».

  2. Configurez « Charger le moteur de sécurité » sur « Mode standard »

  3. Configurer « URL de connexion personnalisée »

  4. Configurez le paramètre « Traitement des requêtes d'authentification wp-login.php » sur « Bloquer l'accès à wp-login.php » ou, de manière plus avancée, sur « Refuser l'authentification via wp-login.php ».

  5. Activer l'option « Bloquer immédiatement l'adresse IP lors de la tentative de connexion avec un nom d'utilisateur inexistant »

  6. Activer « Désactiver la redirection du tableau de bord »

  7. Activez éventuellement l'option « Bloquer immédiatement l'adresse IP après toute requête à wp-login.php »

3. Activez les stratégies de sécurité dans l'onglet Renforcement

Voici l'ensemble minimal de paramètres que vous devez activer dans la section « Renforcement de la sécurité WordPress » :

  1. « Arrêter l'énumération des utilisateurs »

  2. « Empêcher la découverte du nom d'utilisateur via oEmbed »

  3. « Empêcher la découverte des noms d'utilisateur via les sitemaps XML des utilisateurs »

  4. « Bloquer l'accès aux pages des utilisateurs via leurs noms d'utilisateur »

  5. « Bloquer l'exécution des scripts PHP dans le dossier média de WordPress »

  6. « Désactiver l’affichage des erreurs PHP »

  7. « Désactiver XML-RPC »

Il est recommandé d'activer les paramètres suivants dans la section Accès à l'API REST WordPress :

  1. « Arrêter l’énumération des utilisateurs / Bloquer l’accès aux données utilisateur via l’API REST »

  2. « Désactiver l'API REST »

  3. « Autoriser l’API REST pour les utilisateurs connectés »

Lire la suite : Restreindre l’accès à l’API REST

4. Activer le pare-feu Traffic Inspector

  1. Réglez « Activer l’inspection du trafic » sur « Sécurité maximale ».

  2. Réglez « Activer la protection contre les erreurs » sur « Sécurité maximale »

5. Activer les analyses planifiées des logiciels malveillants et la suppression automatique des logiciels malveillants

Dans l'onglet Paramètres , les paramètres suivants doivent être activés.

  1. "Analyser le répertoire temporaire"

  2. "Répertoire de session d'analyse"

Dans l'onglet Nettoyage :

  1. Vous devez activer : « Supprimer les fichiers non surveillés », « Récupérer les fichiers WordPress », « Récupérer les fichiers des plugins ».

  2. Toutes les cases à cocher dans les paramètres « Fichiers dans le dossier de téléchargement » doivent être cochées.

6. Activez la protection anti-spam même si vous pensez ne pas en avoir besoin.

Dans l'onglet Moteur antispam , nous vous conseillons d'activer les paramètres suivants :

  1. "Formulaire de commentaires (Protéger le formulaire de commentaires avec un moteur de détection de robots)"

  2. "Formulaire d'inscription (Protéger le formulaire d'inscription avec un moteur de détection de robots)"

  3. « Autres formulaires (Protéger tous les formulaires du site Web avec un moteur de détection de robots) »

7. Utilisez les règles GEO : bloquez les pays avec lesquels vous ne prévoyez pas de conclure d’accord.

Sur la page d'administration des règles de sécurité , configurez les politiques GEO pour les pays autorisés à interagir avec votre site web : soumettre des formulaires, se connecter ou s'inscrire, etc. Ces paramètres n'empêchent pas les moteurs de recherche d'indexer le site web.

8. Renommez le dossier des plugins WordPress

Renommer le dossier des plugins est l'une des méthodes les plus sous-estimées pour renforcer la sécurité de votre installation WordPress. Et pourtant, c'est gratuit et facile.

Lire la suite : Comment renommer le dossier des plugins WordPress

9. Activer l'authentification à deux facteurs

Pour protéger les comptes utilisateurs, activez l'authentification à deux facteurs (2FA). Elle offre une couche de sécurité supplémentaire exigeant un deuxième facteur d'identification en plus du simple nom d'utilisateur et du mot de passe.

Lire la suite : Comment activer l’authentification à deux facteurs pour WordPress

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.