Security Blog

Comment protéger efficacement WordPress: une liste doit-faire


English version: How to protect WordPress effectively: a must-do list


Une liste de choses à faire qui fournit une sécurité élevée et durable à votre site Web.

Nous voulons que vous tiriez le meilleur parti de nos algorithmes de sécurité. C'est pourquoi nous vous encourageons à configurer tous les paramètres ci-dessous. Faites-le soigneusement, car certains paramètres peuvent entrer en conflit avec un autre plugin ou avec les paramètres de votre serveur Web. En cas de problème, recherchez dans le journal d'activité des événements connexes tels que des demandes refusées ou des adresses IP bloquées.

1. Vérifiez les paramètres principaux

  1. Définissez " Moteur de sécurité de chargement" sur "Mode standard"
  2. Configurez "URL de connexion personnalisée" et activez "Désactiver wp-login.php"
  3. Activer "Bloquer immédiatement l'adresse IP lors d'une tentative de connexion avec un nom d'utilisateur non existant"
  4. Activer "Désactiver la redirection du tableau de bord"
  5. Activer "Bloquer immédiatement l'IP après toute requête à wp-login.php"

2. Activer les politiques de sécurité sous l'onglet Renforcement

L'ensemble minimal de paramètres à activer dans la section Renforcement de WordPress :

  1. "Arrêter l'énumération des utilisateurs"
  2. "Bloquer l'exécution de scripts PHP dans le dossier de média WordPress"
  3. "Désactiver XML-RPC"
  4. "Désactiver l'affichage des erreurs PHP"

Il est recommandé d'activer les paramètres suivants dans la section Accès à l'API REST de WordPress :

  1. "Arrêter l'énumération des utilisateurs / Bloquer l'accès aux données des utilisateurs via l'API REST"
  2. "Désactiver l'API REST"
  3. "Autoriser l'API REST pour les utilisateurs connectés"

Lire la suite: Restreindre l'accès à l'API REST

3. Activer les paramètres de pare-feu Traffic Inspector

  1. Définissez "Activer l'inspection du trafic" sur "Sécurité maximale"
  2. Définissez "Activer la protection contre les erreurs" sur "Sécurité maximale"

4. Activer les analyses de programmes malveillants et la suppression automatique des programmes malveillants

Dans l'onglet Paramètres , les paramètres suivants doivent être activés.

  1. "Analyser le répertoire temporaire"
  2. "Répertoire de session de numérisation"

Sur l'onglet Nettoyage :

  1. Le paramètre "Fichiers sans assistance" doit être activé
  2. Toutes les cases à cocher dans les paramètres "Fichiers du dossier de téléchargement" sont cochées

5. Activez la protection anti-spam même si vous pensez ne pas en avoir besoin

Dans l'onglet du moteur Antispam , il est recommandé d'activer les paramètres suivants:

  1. "Formulaire de commentaire (Protéger le formulaire de commentaire avec le moteur de détection de bot)"
  2. "Formulaire d'inscription (Protéger le formulaire d'inscription avec le moteur de détection de robots)"
  3. "Autres formulaires (Protégez tous les formulaires sur le site Web avec le moteur de détection de robots)"

6. Utiliser les règles GEO: bloquer les pays avec lesquels vous n'allez pas avoir d'accord

Sur la page d'administration Règles de sécurité , configurez les politiques GEO pour les pays autorisés à interagir avec votre site Web: envoi de formulaires, possibilité de connexion ou d'enregistrement, etc. Ces paramètres n'empêchent pas les moteurs de recherche d'indexer le site Web.

7. Renommez le dossier plugins

Changer le nom du dossier des plugins est l’un des moyens les plus sous-estimés de renforcer votre protection WordPress. Et pourtant, c'est gratuit et facile.

Lire la suite: Comment renommer le dossier des plugins WordPress


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.

Leave a Reply to Anonymous
Cancel Reply