{"id":19670,"date":"2018-06-20T02:58:19","date_gmt":"2018-06-20T09:58:19","guid":{"rendered":"https:\/\/kinsta.com\/?p=7378"},"modified":"2025-04-07T12:15:33","modified_gmt":"2025-04-07T11:15:33","slug":"securite-wordpress","status":"publish","type":"post","link":"https:\/\/kinsta.com\/fr\/blog\/securite-wordpress\/","title":{"rendered":"19 \u00e9tapes pour prot\u00e9ger votre site WordPress contre les menaces"},"content":{"rendered":"<p>WordPress <a href=\"https:\/\/kinsta.com\/fr\/blog\/statistiques-wordpress\/\">alimente plus de 43,6 % du web<\/a>, ce qui en fait une cible de choix pour les cyberattaques. Avec des milliers d&rsquo;extensions et de th\u00e8mes, des vuln\u00e9rabilit\u00e9s sont constamment d\u00e9couvertes et exploit\u00e9es.<\/p>\n<p>En 2023, une <a href=\"https:\/\/sucuri.net\/reports\/2023-hacked-website-report\/\" target=\"_blank\" rel=\"noopener noreferrer\">\u00e9tude de Sucuri<\/a> a r\u00e9v\u00e9l\u00e9 que 95,5 % de toutes les infections d\u00e9tect\u00e9es concernaient des sites WordPress &#8211; contre <a href=\"https:\/\/sucuri.net\/reports\/2017-hacked-website-report\" target=\"_blank\" rel=\"noopener noreferrer\">83 % en 2017<\/a>. Bien que d&rsquo;autres plateformes CMS comme Joomla (1,7 %) et Magento (0,6 %) pr\u00e9sentent \u00e9galement des risques de s\u00e9curit\u00e9, WordPress domine \u00e0 la fois en termes d&rsquo;utilisation et d&rsquo;attaques.<\/p>\n<figure style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/wp-security-vulnerabilites.png\" alt=\"Vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 de WordPress.\" width=\"1001\" height=\"471\"><figcaption class=\"wp-caption-text\">Vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 de WordPress.<\/figcaption><\/figure>\n<p>L&rsquo;une des principales raisons est l&rsquo;obsolescence des logiciels. Selon Sucuri :<\/p>\n<ul>\n<li>39.1 % des sites CMS pirat\u00e9s utilisaient des versions obsol\u00e8tes au moment de l&rsquo;infection.<\/li>\n<li>13.97 % des sites compromis avaient au moins une extension ou un th\u00e8me vuln\u00e9rable, ce qui fait des extensions et des th\u00e8mes les maillons les plus faibles.<\/li>\n<li>49.21 % des sites infect\u00e9s contenaient des portes d\u00e9rob\u00e9es, telles que de fausses extensions ou des utilisateurs administrateurs inject\u00e9s, permettant aux pirates de r\u00e9cup\u00e9rer l&rsquo;acc\u00e8s m\u00eame apr\u00e8s le nettoyage.<\/li>\n<\/ul>\n<p>La bonne nouvelle, c&rsquo;est que WordPress s&rsquo;est consid\u00e9rablement am\u00e9lior\u00e9 ces derni\u00e8res ann\u00e9es. Des fonctionnalit\u00e9s telles que les <a href=\"https:\/\/kinsta.com\/fr\/blog\/mises-a-jour-wordpress-automatiques\/\">mises \u00e0 jour automatiques<\/a> ont contribu\u00e9 \u00e0 r\u00e9duire les vuln\u00e9rabilit\u00e9s dans le c\u0153ur du CMS. Toutefois, les mauvaises pratiques en mati\u00e8re de s\u00e9curit\u00e9 &#8211; telles que l&rsquo;utilisation d&rsquo;extensions nulled, de mots de passe faibles et de th\u00e8mes obsol\u00e8tes &#8211; continuent de mettre les sites en danger.<\/p>\n<p>Comme l&rsquo;indique la <a href=\"https:\/\/developer.wordpress.org\/advanced-administration\/security\/hardening\/#what-is-security\" target=\"_blank\" rel=\"noopener noreferrer\">documentation du d\u00e9veloppeur sur la s\u00e9curit\u00e9 de WordPress<\/a>, \u00ab la s\u00e9curit\u00e9 n&rsquo;est pas une question de syst\u00e8mes parfaitement s\u00e9curis\u00e9s \u00bb<\/p>\n<blockquote><p>La s\u00e9curit\u00e9 n&rsquo;est pas une question de syst\u00e8mes parfaitement s\u00e9curis\u00e9s. Une telle chose serait peu pratique, voire impossible \u00e0 maintenir. En revanche, la s\u00e9curit\u00e9 consiste \u00e0 r\u00e9duire les risques, et non \u00e0 les \u00e9liminer. Il s&rsquo;agit d&rsquo;utiliser les contr\u00f4les appropri\u00e9s dont vous disposez, dans les limites du raisonnable, afin d&rsquo;am\u00e9liorer votre position g\u00e9n\u00e9rale et de r\u00e9duire les chances de devenir une cible.<\/p><\/blockquote>\n<p>Compte tenu de ce qui pr\u00e9c\u00e8de, la vraie question est la suivante : Comment pouvez-vous \u00e9viter ces risques ? Bien qu&rsquo;aucun syst\u00e8me ne soit s\u00fbr \u00e0 100 %, le choix du bon fournisseur d&rsquo;h\u00e9bergement est l&rsquo;un des moyens les plus efficaces de prot\u00e9ger votre site.<\/p>\n<p>Passons maintenant en revue les moyens les plus efficaces de s\u00e9curiser votre site WordPress et d&rsquo;\u00e9viter les piratages.<\/p>\n<aside role=\"note\" class=\"wp-block-kinsta-notice is-style-info\">\n            <h3>Info<\/h3>\n        <p>Si vous \u00eates un client de Kinsta, vous n&rsquo;avez pas \u00e0 vous soucier de beaucoup d&rsquo;entre eux, car nous offrons des correctifs de piratage gratuits ! Mais m\u00eame avec cette garantie, vous devriez toujours suivre les meilleures pratiques de s\u00e9curit\u00e9.<\/p>\n<\/aside>\n\n<div><\/div><kinsta-auto-toc heading=\"Table of Contents\" exclude=\"last\" list-style=\"arrow\" selector=\"h2\" count-number=\"-1\"><\/kinsta-auto-toc>\n<h2>1. Investir dans un h\u00e9bergement WordPress s\u00e9curis\u00e9<\/h2>\n<p>Un site WordPress s\u00e9curis\u00e9 commence par un <a href=\"https:\/\/kinsta.com\/fr\/blog\/liste-controle-securite-site\/\">fournisseur d&rsquo;h\u00e9bergement s\u00e9curis\u00e9<\/a>. Quel que soit le nombre d&rsquo;extensions de s\u00e9curit\u00e9 que vous installez ou le soin que vous apportez \u00e0 la gestion des mises \u00e0 jour, votre site est en danger si votre environnement d&rsquo;h\u00e9bergement est vuln\u00e9rable.<\/p>\n<p>De nombreux propri\u00e9taires de sites web se concentrent sur le verrouillage de WordPress lui-m\u00eame, mais n\u00e9gligent souvent l&rsquo;endroit o\u00f9 leur site est h\u00e9berg\u00e9.<\/p>\n<p>Un environnement d&rsquo;h\u00e9bergement m\u00e9diocre vous expose \u00e0 des <a href=\"https:\/\/kinsta.com\/fr\/blog\/attaques-ddos\/\">attaques DDoS<\/a>, \u00e0 des <a href=\"https:\/\/kinsta.com\/fr\/blog\/types-de-logiciels-malveillants\/\">infections par des logiciels malveillants<\/a>, \u00e0 des <a href=\"https:\/\/kinsta.com\/fr\/blog\/qu-est-ce-qu-un-pare-feu\/\">pare-feu<\/a> d\u00e9ficients et \u00e0 des logiciels de serveur obsol\u00e8tes, autant d&rsquo;\u00e9l\u00e9ments que les pirates informatiques exploitent activement. En revanche, un h\u00e9bergeur WordPress s\u00e9curis\u00e9 vous d\u00e9charge d&rsquo;une grande partie du fardeau de la s\u00e9curit\u00e9 en bloquant de mani\u00e8re proactive le trafic malveillant, en recherchant les menaces et en appliquant automatiquement les correctifs de s\u00e9curit\u00e9.<\/p>\n<p>Une plateforme d&rsquo;h\u00e9bergement bien prot\u00e9g\u00e9e doit comprendre les \u00e9l\u00e9ments suivants<\/p>\n<ul>\n<li>Pare-feu de niveau entreprise et une protection DDoS pour filtrer le trafic nuisible avant qu&rsquo;il n&rsquo;atteigne votre site.<\/li>\n<li>Analyse et la suppression automatis\u00e9es des logiciels malveillants pour d\u00e9tecter les infections avant qu&rsquo;elles ne se propagent.<\/li>\n<li>Isolation s\u00e9curis\u00e9e des serveurs, de sorte que si un site est compromis, cela n&rsquo;affecte pas les autres.<\/li>\n<li>Mises \u00e0 jour et correctifs automatiques des logiciels, pour que votre environnement serveur soit toujours \u00e0 jour.<\/li>\n<li>Sauvegardes quotidiennes et options de retour en arri\u00e8re, de sorte que m\u00eame en cas de probl\u00e8me, vous pouvez restaurer votre site instantan\u00e9ment.<\/li>\n<\/ul>\n<p>La plupart des piratages de WordPress ne sont pas dus \u00e0 des exploits sophistiqu\u00e9s. Ils se produisent parce que des <a href=\"https:\/\/kinsta.com\/fr\/blog\/vulnerabilite-plugin-wordpress\/#outdated-plugins\">extensions obsol\u00e8tes<\/a>, des mots de passe faibles et une mauvaise s\u00e9curit\u00e9 du serveur laissent la porte grande ouverte. Et lorsque les pirates cherchent des faiblesses, ils commencent souvent par le serveur lui-m\u00eame.<\/p>\n<h3>Chez Kinsta, la s\u00e9curit\u00e9 est int\u00e9gr\u00e9e \u00e0 l&rsquo;infrastructure<\/h3>\n<p>D\u00e8s qu&rsquo;un site est d\u00e9ploy\u00e9 sur notre plateforme, il b\u00e9n\u00e9ficie de <a href=\"https:\/\/kinsta.com\/fr\/hebergement-wordpress-securise\/\">protections de s\u00e9curit\u00e9 de niveau entreprise<\/a> qui fonctionnent discr\u00e8tement en arri\u00e8re-plan, bloquant le trafic malveillant, stoppant les <a href=\"https:\/\/kinsta.com\/fr\/blog\/xmlrpc-php\/#brute-force-attacks-via-xmlrpc\">attaques par force brute<\/a> et maintenant les logiciels de base \u00e0 jour sans que les propri\u00e9taires de sites n&rsquo;aient \u00e0 lever le petit doigt.<\/p>\n<p>En outre, chaque site est compl\u00e8tement isol\u00e9 gr\u00e2ce \u00e0 la <a href=\"https:\/\/kinsta.com\/fr\/blog\/technologie-conteneurs-isoles\/\">technologie des conteneurs Linux<\/a>, ce qui signifie qu&rsquo;un site compromis ne peut pas affecter les autres. Ce niveau d&rsquo;isolation est rarement trouv\u00e9 dans l&rsquo;h\u00e9bergement partag\u00e9 traditionnel, o\u00f9 plusieurs sites sur le m\u00eame serveur partagent les ressources et les risques.<\/p>\n<figure style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/wp-architecture.png\" alt=\"Architecture de l'h\u00e9bergement WordPress de Kinsta.\" width=\"1001\" height=\"471\"><figcaption class=\"wp-caption-text\">Architecture de l&rsquo;h\u00e9bergement WordPress de Kinsta.<\/figcaption><\/figure>\n<p>Comme le montre notre architecture d&rsquo;h\u00e9bergement ci-dessus, tous les sites Kinsta fonctionnent sur le r\u00e9seau premium de Google Cloud Platform, b\u00e9n\u00e9ficiant de plus de 15 ans d&rsquo;innovations en mati\u00e8re de s\u00e9curit\u00e9 de Google, qui prot\u00e8gent \u00e9galement des services tels que Gmail et Search.<\/p>\n<p>En plus des mesures de s\u00e9curit\u00e9 robustes d\u00e9j\u00e0 mentionn\u00e9es, Kinsta fournit \u00e9galement :<\/p>\n<ul>\n<li><a href=\"https:\/\/kinsta.com\/fr\/integration-cloudflare\/\">Le pare-feu d&rsquo;entreprise de Cloudflare<\/a>, qui filtre le trafic nuisible, bloque les robots malveillants et att\u00e9nue les attaques par force brute avant m\u00eame qu&rsquo;elles n&rsquo;atteignent votre site.<\/li>\n<li>Une protection contre les attaques DDoS, garantissant que votre site reste en ligne m\u00eame lorsqu&rsquo;il est la cible d&rsquo;attaques massives.<\/li>\n<li><a href=\"https:\/\/kinsta.com\/fr\/modules\/mises-a-jour-automatiques-kinsta\/\">Mises \u00e0 jour automatiques<\/a> pour les extensions et les th\u00e8mes, garantissant que votre site reste \u00e0 jour avec les derniers correctifs de s\u00e9curit\u00e9 et les derni\u00e8res fonctionnalit\u00e9s.<\/li>\n<li><a href=\"https:\/\/kinsta.com\/fr\/blog\/certificat-ssl-gratuit\/\">Cryptage SSL gratuit<\/a>, prot\u00e9geant toutes les donn\u00e9es \u00e9chang\u00e9es entre votre site et vos visiteurs, avec renouvellement automatique des certificats SSL pour \u00e9viter les failles de s\u00e9curit\u00e9.<\/li>\n<li><a href=\"https:\/\/kinsta.com\/fr\/docs\/hebergement-wordpress\/sauvegardes-wordpress\/\">Sauvegardes<\/a> automatis\u00e9es quotidiennes, stockant des instantan\u00e9s du site complet pendant deux semaines, permettant une restauration instantan\u00e9e en cas d&rsquo;attaque ou de perte accidentelle de donn\u00e9es.<\/li>\n<li><a href=\"https:\/\/kinsta.com\/fr\/docs\/hebergement-wordpress\/surveillance-wordpress\/surveillance-temps-fonctionnement\/\">Surveillance du temps de fonctionnement<\/a> en temps r\u00e9el, avec des contr\u00f4les toutes les trois minutes &#8211; soit 480 contr\u00f4les quotidiens pour d\u00e9tecter les probl\u00e8mes avant qu&rsquo;ils ne deviennent majeurs.<\/li>\n<li><a href=\"https:\/\/kinsta.com\/fr\/support-kinsta\/\">Support 24\/7<\/a>, fournissant une aide en temps r\u00e9el dans 10 langues \u00e0 chaque fois que vous en avez besoin, afin de garantir que votre site fonctionne toujours sans probl\u00e8me et en toute s\u00e9curit\u00e9.<\/li>\n<\/ul>\n<p>La s\u00e9curit\u00e9 ne consiste pas seulement \u00e0 r\u00e9agir aux menaces, mais aussi \u00e0 les pr\u00e9venir avant qu&rsquo;elles ne se produisent. L&rsquo;approche de s\u00e9curit\u00e9 de Kinsta signifie que les propri\u00e9taires de sites WordPress peuvent cesser de s&rsquo;inqui\u00e9ter des logiciels malveillants, des attaques DDoS et des vuln\u00e9rabilit\u00e9s des serveurs, et se concentrer sur ce qui compte : d\u00e9velopper leur activit\u00e9.<\/p>\n<h2>2. Utiliser la derni\u00e8re version de PHP<\/h2>\n<p><a href=\"https:\/\/kinsta.com\/fr\/blog\/qu-est-ce-que-php\/\">PHP<\/a> est l&rsquo;\u00e9pine dorsale de votre site WordPress, l&rsquo;utilisation de la derni\u00e8re version sur votre serveur est donc essentielle pour la s\u00e9curit\u00e9, la performance et la stabilit\u00e9.<\/p>\n<p>Chaque version majeure de PHP b\u00e9n\u00e9ficie d&rsquo;un <a href=\"http:\/\/php.net\/supported-versions.php\" target=\"_blank\" rel=\"noopener noreferrer\">support actif <\/a><a href=\"http:\/\/php.net\/supported-versions.php\" target=\"_blank\" rel=\"noopener noreferrer\">pendant deux ans<\/a>, au cours desquels les failles de s\u00e9curit\u00e9 et les bogues sont r\u00e9guli\u00e8rement corrig\u00e9s. Lorsqu&rsquo;une version atteint la fin de sa dur\u00e9e de vie, elle ne re\u00e7oit plus de mises \u00e0 jour, ce qui expose tout site fonctionnant avec cette version \u00e0 des failles de s\u00e9curit\u00e9 non corrig\u00e9es.<\/p>\n<figure style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/supported-php-versions.png\" alt=\"Versions PHP support\u00e9es.\" width=\"1001\" height=\"471\"><figcaption class=\"wp-caption-text\">Versions PHP support\u00e9es.<\/figcaption><\/figure>\n<p>Pourtant, de nombreux sites WordPress utilisent encore des versions obsol\u00e8tes. Selon la page officielle des <a href=\"https:\/\/wordpress.org\/about\/stats\/\" target=\"_blank\" rel=\"noopener noreferrer\">statistiques de WordPress<\/a>, seuls 49,4 % des sites WordPress utilisent PHP 8.1 ou une version plus r\u00e9cente. Cela signifie que plus de la moiti\u00e9 des sites utilisent des versions de PHP qui ne sont plus support\u00e9es. En fait, PHP 7.4, qui ne sera plus pris en charge \u00e0 la fin de l&rsquo;ann\u00e9e 2022, \u00e9quipe encore 31 % de l&rsquo;ensemble des sites WordPress. C&rsquo;est une statistique inqui\u00e9tante pour la s\u00e9curit\u00e9.<\/p>\n<figure style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/wp-php-stat.png\" alt=\"Statistiques sur les versions PHP de WordPress.\" width=\"1001\" height=\"471\"><figcaption class=\"wp-caption-text\">Statistiques sur les versions PHP de WordPress.<\/figcaption><\/figure>\n<p>Si vous n&rsquo;\u00eates pas s\u00fbr de la version PHP utilis\u00e9e par votre site, vous pouvez la v\u00e9rifier dans votre tableau de bord d&rsquo;h\u00e9bergement ou utiliser l&rsquo;outil <a href=\"https:\/\/wordpress.org\/documentation\/article\/site-health-screen\/\" target=\"_blank\" rel=\"noopener noreferrer\">WordPress de sant\u00e9 du site<\/a>, qui fournit une analyse de sa configuration actuelle.<\/p>\n<figure style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/tools-php-version.png\" alt=\"Confirmer la version PHP de WordPress.\" width=\"1001\" height=\"471\"><figcaption class=\"wp-caption-text\">Confirmer la version PHP de WordPress.<\/figcaption><\/figure>\n<p>Chez Kinsta, nous recommandons fortement d&rsquo;utiliser <strong>PHP 8.1 et plus<\/strong> pour une s\u00e9curit\u00e9 et des performances optimales. Cependant, nous comprenons qu&rsquo;une grande partie des utilisateurs de WordPress &#8211; environ 40,4% &#8211; utilisent encore des versions plus anciennes comme PHP 7.4 et 8.0.<\/p>\n<p>Pour s&rsquo;assurer que ces utilisateurs puissent continuer \u00e0 b\u00e9n\u00e9ficier de notre environnement d&rsquo;h\u00e9bergement s\u00e9curis\u00e9, nous <a href=\"https:\/\/kinsta.com\/fr\/changelog\/support-php-fin-de-vie\/\">continuons \u00e0 supporter ces versions<\/a> tout en encourageant nos clients \u00e0 passer \u00e0 des versions plus r\u00e9centes.<\/p>\n<p>Le passage d&rsquo;une version de PHP \u00e0 l&rsquo;autre se fait sans effort. Dans le tableau de bord <a href=\"https:\/\/kinsta.com\/fr\/mykinsta\/\">MyKinsta<\/a>, allez simplement dans l&rsquo;onglet <strong>Outils<\/strong>, naviguez vers <strong>R\u00e9glages PHP<\/strong>, et cliquez sur le bouton <strong>Changer<\/strong> pour mettre \u00e0 jour la version PHP de votre site instantan\u00e9ment.<\/p>\n<figure style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/kinsta-php-version.png\" alt=\"Changer la version PHP de Kinsta.\" width=\"1001\" height=\"471\"><figcaption class=\"wp-caption-text\">Changer la version PHP de Kinsta.<\/figcaption><\/figure>\n<p>Pour rendre les choses encore plus faciles, Kinsta propose des <strong>mises \u00e0 jour PHP automatiques<\/strong>. Si votre site fonctionne avec une version de PHP qui arrive en fin de vie, notre syst\u00e8me le met automatiquement \u00e0 jour avec la derni\u00e8re version support\u00e9e. Cela garantit que votre site reste s\u00e9curis\u00e9 et enti\u00e8rement optimis\u00e9 sans n\u00e9cessiter d&rsquo;intervention manuelle.<\/p>\n<figure style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/auto-php-update.png\" alt=\"Mises \u00e0 jour PHP automatiques.\" width=\"1001\" height=\"471\"><figcaption class=\"wp-caption-text\">Mises \u00e0 jour PHP automatiques.<\/figcaption><\/figure>\n<p>Si vous \u00eates sur un h\u00e9bergeur WordPress qui utilise <a href=\"https:\/\/kinsta.com\/fr\/blog\/qu-est-ce-que-cpanel\/\">cPanel<\/a>, vous pouvez g\u00e9n\u00e9ralement changer de version PHP en s\u00e9lectionnant l&rsquo;option <strong>Select PHP Version<\/strong> dans la cat\u00e9gorie <strong>Software<\/strong>.<\/p>\n<figure style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/cpanel-php-version.png\" alt=\"version PHP de cPanel.\" width=\"1001\" height=\"471\"><figcaption class=\"wp-caption-text\">version PHP de cPanel.<\/figcaption><\/figure>\n<h2>3. Utiliser toujours la derni\u00e8re version de WordPress, des plugins et des th\u00e8mes<\/h2>\n<p>Un autre moyen tr\u00e8s important de renforcer la s\u00e9curit\u00e9 de WordPress est de toujours le maintenir \u00e0 jour. Cela inclut le noyau de WordPress, les extensions et les th\u00e8mes (\u00e0 la fois ceux du <a href=\"https:\/\/wordpress.org\/plugins\/\" target=\"_blank\" rel=\"noopener noreferrer\">d\u00e9p\u00f4t de WordPress<\/a> et les versions premium).<\/p>\n<p>Ces mises \u00e0 jour ne concernent pas seulement les nouvelles fonctionnalit\u00e9s &#8211; elles contiennent souvent des correctifs de s\u00e9curit\u00e9 critiques qui corrigent les <a href=\"https:\/\/kinsta.com\/fr\/blog\/vulnerabilite-plugin-wordpress\/\">vuln\u00e9rabilit\u00e9s<\/a> avant que les pirates ne puissent les exploiter.<\/p>\n<p>Dans les premi\u00e8res ann\u00e9es de WordPress, le logiciel de base \u00e9tait confront\u00e9 \u00e0 davantage de menaces de s\u00e9curit\u00e9 car les mises \u00e0 jour n&rsquo;\u00e9taient pas toujours appliqu\u00e9es \u00e0 temps. WordPress a fait un grand pas vers l&rsquo;am\u00e9lioration de la s\u00e9curit\u00e9 avec la sortie de la version 3.7, qui a introduit des <a href=\"https:\/\/kinsta.com\/fr\/blog\/mises-a-jour-wordpress-automatiques\/\">mises \u00e0 jour automatiques<\/a> pour les versions mineures, y compris les mises \u00e0 jour de s\u00e9curit\u00e9 et de maintenance.<\/p>\n<figure style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/wp-updates.png\" alt=\"Mises \u00e0 jour de WordPress.\" width=\"1001\" height=\"471\"><figcaption class=\"wp-caption-text\">Mises \u00e0 jour de WordPress.<\/figcaption><\/figure>\n<p>Cela a permis de r\u00e9duire consid\u00e9rablement le nombre d&rsquo;attaques contre les versions obsol\u00e8tes du noyau de WordPress. Toutefois, si le c\u0153ur de WordPress est d\u00e9sormais plus s\u00fbr, les extensions et les th\u00e8mes sont devenus la plus grande surface d&rsquo;attaque.<\/p>\n<p>Selon <a href=\"https:\/\/patchstack.com\/whitepaper\/state-of-wordpress-security-in-2024\/\" target=\"_blank\" rel=\"noopener noreferrer\">Patchstack<\/a>, 96,77 % de toutes les nouvelles vuln\u00e9rabilit\u00e9s de WordPress en 2023 provenaient d&rsquo;extensions, tandis que les th\u00e8mes ne repr\u00e9sentaient que 3,01 % et les vuln\u00e9rabilit\u00e9s de WordPress de base moins de 1 %.<\/p>\n<figure style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/patchstack-wp-vulnerabilities.png\" alt=\"Rapport de PatchStack sur les vuln\u00e9rabilit\u00e9s de WordPress en 2023.\" width=\"1001\" height=\"471\"><figcaption class=\"wp-caption-text\">Rapport de PatchStack sur les vuln\u00e9rabilit\u00e9s de WordPress en 2023.<\/figcaption><\/figure>\n<p>Cela signifie que le v\u00e9ritable risque de s\u00e9curit\u00e9 n&rsquo;est pas WordPress lui-m\u00eame &#8211; ce sont les extensions et les th\u00e8mes tiers qui \u00e9tendent ses fonctionnalit\u00e9s.<\/p>\n<p>Le risque est encore plus grand lorsque les extensions sont abandonn\u00e9es. En 2023, Patchstack a signal\u00e9 \u00e0 l&rsquo;\u00e9quipe WordPress 827 extensions et th\u00e8mes vuln\u00e9rables. Parmi ceux-ci, 481 composants ont \u00e9t\u00e9 retir\u00e9s du r\u00e9f\u00e9rentiel d&rsquo;extensions en raison de leur abandon &#8211; une augmentation de 450 % par rapport \u00e0 2022, o\u00f9 seulement 147 extensions et th\u00e8mes ont \u00e9t\u00e9 signal\u00e9s et 87 ont \u00e9t\u00e9 retir\u00e9s.<\/p>\n<p>Cela signifie que des milliers de sites WordPress utilisaient des extensions qui ne recevaient plus de mises \u00e0 jour et constituaient des cibles faciles pour les attaquants.<\/p>\n<figure style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/vulnerable-plugins.png\" alt=\"Rapport de PatchStack sur les extensions vuln\u00e9rables.\" width=\"1001\" height=\"471\"><figcaption class=\"wp-caption-text\">Rapport de PatchStack sur les extensions vuln\u00e9rables.<\/figcaption><\/figure>\n<p>Les extensions et les th\u00e8mes sont les plus grandes sources de vuln\u00e9rabilit\u00e9s pour WordPress, c&rsquo;est pourquoi leur mise \u00e0 jour doit \u00eatre une priorit\u00e9 absolue. Cependant, v\u00e9rifier manuellement les mises \u00e0 jour de plusieurs extensions, th\u00e8mes et sites peut s&rsquo;av\u00e9rer fastidieux.<\/p>\n<p>Chez Kinsta, nous avons rendu ce processus facile gr\u00e2ce aux <a href=\"https:\/\/kinsta.com\/fr\/modules\/mises-a-jour-automatiques-kinsta\/\">mises \u00e0 jour automatiques de Kinsta<\/a>. Cette fonctionnalit\u00e9 garantit que toutes les extensions et tous les th\u00e8mes &#8211; qu&rsquo;ils soient actifs ou inactifs &#8211; sont mis \u00e0 jour quotidiennement. Toute extension ou th\u00e8me install\u00e9 est automatiquement ajout\u00e9 au syst\u00e8me de mise \u00e0 jour de Kinsta, ce qui vous permet de rester prot\u00e9g\u00e9 contre les vuln\u00e9rabilit\u00e9s sans avoir \u00e0 intervenir.<\/p>\n<figure style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/automatic-updates-status-page.png\" alt=\"Page d'\u00e9tat des mises \u00e0 jour automatiques de Kinsta.\" width=\"1001\" height=\"471\"><figcaption class=\"wp-caption-text\">Page d&rsquo;\u00e9tat des mises \u00e0 jour automatiques de Kinsta.<\/figcaption><\/figure>\n<p>Pour \u00e9viter les probl\u00e8mes inattendus apr\u00e8s les mises \u00e0 jour, Kinsta effectue des tests de r\u00e9gression visuels sur votre site. Cela signifie que nous comparons des captures d&rsquo;\u00e9cran de vos pages avant et apr\u00e8s une mise \u00e0 jour pour d\u00e9tecter les changements significatifs. Vous pouvez en savoir plus sur cette fonctionnalit\u00e9 et son fonctionnement dans <a href=\"https:\/\/kinsta.com\/fr\/docs\/hebergement-wordpress\/plugins-themes-wordpress\/mises-a-jour-automatiques-wordpress\/\">notre documentation<\/a>.<\/p>\n<p>Pour les utilisateurs qui pr\u00e9f\u00e8rent le contr\u00f4le manuel, vous pouvez mettre \u00e0 jour les extensions et les th\u00e8mes directement via le tableau de bord MyKinsta ou via la section Mises \u00e0 jour WordPress dans votre panneau d&rsquo;<a href=\"https:\/\/kinsta.com\/fr\/blog\/tableau-de-bord-admin-wordpress\/\">administration<\/a>. S\u00e9lectionnez simplement les extensions que vous souhaitez mettre \u00e0 jour et cliquez sur <strong>Mettre \u00e0 jour les extensions<\/strong>.<\/p>\n<figure style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/wp-update-plugins.png\" alt=\"Mettre \u00e0 jour les extensions.\" width=\"1001\" height=\"471\"><figcaption class=\"wp-caption-text\">Mettre \u00e0 jour les extensions.<\/figcaption><\/figure>\n<p>Il est \u00e9galement important d&rsquo;\u00eatre s\u00e9lectif quant aux extensions que vous installez. <a href=\"https:\/\/patchstack.com\/articles\/security-implications-of-wordpress-repository-access-restrictions-and-plugin-closures\/\" target=\"_blank\" rel=\"noopener noreferrer\">Patchstack a prouv\u00e9<\/a> que de nombreuses extensions du d\u00e9p\u00f4t WordPress ne sont plus maintenues.<\/p>\n<p>Avant d&rsquo;installer une extension, v\u00e9rifiez la date de <strong>derni\u00e8re mise \u00e0 jour<\/strong> et lisez les commentaires des utilisateurs. Si une extension n&rsquo;a pas \u00e9t\u00e9 mise \u00e0 jour depuis longtemps ou si elle est mal not\u00e9e, il est pr\u00e9f\u00e9rable de chercher une alternative.<\/p>\n<figure style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/outdated-plugin.png\" alt=\"Extension obsol\u00e8te.\" width=\"1001\" height=\"471\"><figcaption class=\"wp-caption-text\">Extension obsol\u00e8te.<\/figcaption><\/figure>\n<p>Comme le montre l&rsquo;image ci-dessus, WordPress signale \u00e9galement les extensions obsol\u00e8tes par un avertissement en haut de leur liste, ce qui permet de rep\u00e9rer plus facilement les risques potentiels.<\/p>\n<p>Pour garder une longueur d&rsquo;avance sur les menaces de s\u00e9curit\u00e9 de WordPress, des ressources comme <a href=\"https:\/\/wpscan.com\/\" target=\"_blank\" rel=\"noopener noreferrer\">WPScan<\/a>, qui suit plus de 10.000 vuln\u00e9rabilit\u00e9s dans le noyau, les extensions et les th\u00e8mes de WordPress, et l&rsquo;<a href=\"https:\/\/wordpress.org\/news\/category\/security\/\" target=\"_blank\" rel=\"noopener noreferrer\">Official WordPress Security Archive<\/a>, qui enregistre tous les changements li\u00e9s \u00e0 la s\u00e9curit\u00e9, vous aident \u00e0 rester inform\u00e9 des risques les plus r\u00e9cents.<\/p>\n<p>Vous pouvez r\u00e9duire consid\u00e9rablement les risques de s\u00e9curit\u00e9 de votre site en gardant WordPress, les extensions et les th\u00e8mes \u00e0 jour, en utilisant un syst\u00e8me de mise \u00e0 jour fiable et en \u00e9tant prudent dans le choix des extensions.<\/p>\n<h2>4. Cacher votre version de WordPress<\/h2>\n<p>Masquer la version de WordPress est un autre moyen de r\u00e9duire les risques potentiels pour la s\u00e9curit\u00e9. Si des pirates peuvent voir que vous utilisez une version obsol\u00e8te de WordPress, votre site devient une cible pour les attaques qui exploitent des vuln\u00e9rabilit\u00e9s connues.<\/p>\n<p>Par d\u00e9faut, WordPress affiche son num\u00e9ro de version dans le code source HTML de votre site.<\/p>\n<figure id=\"attachment_105540\" aria-describedby=\"caption-attachment-105540\" style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/wp-version.png\" alt=\"WordPress version\" width=\"1001\" height=\"471\"><figcaption id=\"caption-attachment-105540\" class=\"wp-caption-text\">Version de WordPress.<\/figcaption><\/figure>\n<p>Bien que la meilleure approche soit de toujours maintenir WordPress \u00e0 jour, vous pouvez supprimer le num\u00e9ro de version du code source en ajoutant cet extrait au fichier <code>functions.php<\/code> de votre th\u00e8me :<\/p>\n<pre><code class=\"language-bash\">function wp_version_remove_version() {\n    return '';\n}\nadd_filter('the_generator', 'wp_version_remove_version');<\/code><\/pre>\n<aside role=\"note\" class=\"wp-block-kinsta-notice is-style-important\">\n            <h3>Important<\/h3>\n        <p>La modification des fichiers du th\u00e8me peut endommager votre site si elle n&rsquo;est pas effectu\u00e9e correctement. Pour \u00e9viter tout probl\u00e8me, envisagez d&rsquo;utiliser un <a href=\"https:\/\/kinsta.com\/fr\/blog\/theme-enfant-wordpress\/\">th\u00e8me enfant<\/a> ou de proc\u00e9der d&rsquo;abord aux modifications dans un <a href=\"https:\/\/kinsta.com\/fr\/docs\/hebergement-wordpress\/environnement-staging\/\">environnement de staging<\/a>. Si vous n&rsquo;\u00eates pas s\u00fbr, consultez un <a href=\"https:\/\/kinsta.com\/fr\/blog\/engager-developpeur-wordpress\/\">d\u00e9veloppeur<\/a> avant de proc\u00e9der.<\/p>\n<\/aside>\n\n<p>Pour une solution plus simple, l&rsquo;extension <a href=\"https:\/\/perfmatters.io\/\" target=\"_blank\" rel=\"noopener noreferrer\">Perfmatters<\/a> vous permet de masquer la version de WordPress en un seul clic, ainsi que d&rsquo;autres optimisations en mati\u00e8re de performances et de s\u00e9curit\u00e9.<\/p>\n<h2>5. Verrouiller votre administration WordPress<\/h2>\n<p>Bien que <strong>la s\u00e9curit\u00e9 par l&rsquo;obscurit\u00e9 de WordPress<\/strong> ne soit pas une solution infaillible, faire en sorte qu&rsquo;il soit plus difficile pour les pirates de trouver et d&rsquo;exploiter votre panneau d&rsquo;administration r\u00e9duit votre exposition aux attaques par force brute et aux robots malveillants.<\/p>\n<p>Les pirates ciblent souvent <code>wp-admin<\/code> car c&rsquo;est la porte d&rsquo;entr\u00e9e de votre site. S&rsquo;ils parviennent \u00e0 acc\u00e9der \u00e0 votre zone d&rsquo;administration, ils peuvent en prendre le contr\u00f4le total, en injectant des logiciels malveillants, en modifiant des fichiers, voire en vous bloquant.<\/p>\n<p>Renforcer l&rsquo;acc\u00e8s \u00e0 votre tableau de bord WordPress ajoute une couche suppl\u00e9mentaire de s\u00e9curit\u00e9, garantissant que les pirates ne peuvent pas acc\u00e9der \u00e0 votre site m\u00eame si une vuln\u00e9rabilit\u00e9 existe ailleurs.<\/p>\n<p>Les moyens les plus efficaces de s\u00e9curiser votre administration WordPress sont les suivants :<\/p>\n<ul>\n<li>Modifier l&rsquo;URL de connexion par d\u00e9faut afin que les attaquants et les robots ne puissent pas la trouver facilement.<\/li>\n<li>Limiter les tentatives de connexion pour bloquer les attaques par force brute.<\/li>\n<li>Ajouter l&rsquo;authentification HTTP pour demander un nom d&rsquo;utilisateur et un mot de passe suppl\u00e9mentaires avant de charger la page de connexion.<\/li>\n<li>Restreindre l&rsquo;acc\u00e8s de l&rsquo;administrateur \u00e0 des adresses IP sp\u00e9cifiques \u00e0 l&rsquo;aide d&rsquo;un pare-feu ou de r\u00e8gles de serveur web.<\/li>\n<\/ul>\n<p>Ces m\u00e9thodes fonctionnent ensemble pour emp\u00eacher les tentatives de connexion non autoris\u00e9es et r\u00e9duire le risque d&rsquo;exploitation du panneau d&rsquo;administration. Examinons-les une \u00e0 une.<\/p>\n<h3>Modifier l&rsquo;URL de connexion de WordPress<\/h3>\n<p>Par d\u00e9faut, les sites WordPress utilisent <code>domain.com\/wp-admin<\/code> ou <code>domain.com\/wp-login.php<\/code> comme URL de connexion. Le probl\u00e8me est que les pirates et les robots le savent aussi. Ils scannent constamment les sites, \u00e0 la recherche de pages de connexion \u00e0 attaquer.<\/p>\n<p>Changer votre URL de connexion ne rend pas votre site invuln\u00e9rable, mais il en fait une cible beaucoup plus difficile, ce qui r\u00e9duit consid\u00e9rablement les attaques automatis\u00e9es.<\/p>\n<p>Pour modifier votre URL de connexion, vous pouvez utiliser des extensions gratuites comme <a href=\"https:\/\/wordpress.org\/plugins\/wps-hide-login\/\" target=\"_blank\" rel=\"noopener noreferrer\">WPS Hide Login<\/a> ou des solutions premium comme <a href=\"https:\/\/perfmatters.io\/docs\/change-wordpress-login-url\/\" target=\"_blank\" rel=\"noopener noreferrer\">Perfmatters<\/a>. Ces extensions vous permettent de d\u00e9finir un chemin de connexion personnalis\u00e9, ce qui rend la t\u00e2che des attaquants beaucoup plus difficile pour trouver votre page de connexion \u00e0 l&rsquo;administration. Veillez simplement \u00e0 choisir une URL unique qui n&rsquo;est pas commun\u00e9ment devin\u00e9e par les robots.<\/p>\n<h3>Limiter les tentatives de connexion<\/h3>\n<p>M\u00eame avec une URL de connexion cach\u00e9e, les attaquants peuvent toujours essayer de deviner les mots de passe par des attaques par force brute, o\u00f9 ils tentent des milliers de combinaisons de nom d&rsquo;utilisateur et de mot de passe jusqu&rsquo;\u00e0 ce qu&rsquo;ils trouvent le bon. Par d\u00e9faut, WordPress ne limite pas les tentatives de connexion, ce qui signifie que les robots peuvent continuer \u00e0 essayer ind\u00e9finiment.<\/p>\n<p>Vous pouvez bloquer ces attaques en limitant le nombre de tentatives de connexion infructueuses avant qu&rsquo;une adresse IP ne soit temporairement bloqu\u00e9e. L&rsquo;extension <a href=\"https:\/\/wordpress.org\/plugins\/limit-login-attempts-reloaded\/\" target=\"_blank\" rel=\"noopener noreferrer\">Limit Login Attempts Reloaded<\/a> est un moyen simple de le faire &#8211; elle vous permet de configurer les dur\u00e9es de verrouillage, de d\u00e9finir des limites de tentatives de connexion, et m\u00eame d&rsquo;\u00e9tablir une liste d&rsquo;adresses IP autoris\u00e9es ou bloqu\u00e9es.<\/p>\n<figure style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/limit-login-reloaded.png\" alt=\"Limit Login Attempts Reloaded.\" width=\"1001\" height=\"471\"><figcaption class=\"wp-caption-text\">Limit Login Attempts Reloaded.<\/figcaption><\/figure>\n<p>En guise d&rsquo;alternative, <a href=\"https:\/\/wordpress.org\/plugins\/login-lockdown\/\" target=\"_blank\" rel=\"noopener noreferrer\">Login Lockdown &#038; Protection<\/a> enregistre les adresses IP et les horodatages des tentatives de connexion \u00e9chou\u00e9es, bloquant l&rsquo;acc\u00e8s si un trop grand nombre de tentatives se produit sur une courte p\u00e9riode. Cela permet de pr\u00e9venir les attaques automatis\u00e9es tout en emp\u00eachant les utilisateurs l\u00e9gitimes d&rsquo;\u00eatre bloqu\u00e9s trop facilement.<\/p>\n<figure style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/login-protection-settings.png\" alt=\"R\u00e9glages de verrouillage et de protection des connexions.\" width=\"1001\" height=\"471\"><figcaption class=\"wp-caption-text\">R\u00e9glages de verrouillage et de protection des connexions.<\/figcaption><\/figure>\n<h3>Ajouter une authentification HTTP pour une couche de s\u00e9curit\u00e9 suppl\u00e9mentaire<\/h3>\n<p>Un autre moyen efficace de s\u00e9curiser votre page de connexion est d&rsquo;ajouter une couche suppl\u00e9mentaire de protection par mot de passe avant que quiconque ne puisse y acc\u00e9der. Cela signifie qu&rsquo;avant que quelqu&rsquo;un ne voie l&rsquo;\u00e9cran de connexion de WordPress, il doit d&rsquo;abord saisir un nom d&rsquo;utilisateur et un mot de passe.<\/p>\n<figure style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/http-authentication.png\" alt=\"Authentification HTTP.\" width=\"1001\" height=\"471\"><figcaption class=\"wp-caption-text\">Authentification HTTP.<\/figcaption><\/figure>\n<p>Cette m\u00e9thode est tr\u00e8s efficace, mais elle n&rsquo;est pas id\u00e9ale pour les sites de commerce \u00e9lectronique ou les sites de membres, car les utilisateurs doivent se connecter fr\u00e9quemment. En revanche, elle permet de r\u00e9duire consid\u00e9rablement les tentatives de connexion non autoris\u00e9es pour les blogs, les sites d&rsquo;entreprise ou les projets personnels.<\/p>\n<p>De nombreux fournisseurs d&rsquo;h\u00e9bergement proposent des outils int\u00e9gr\u00e9s \u00e0 cet effet. Par exemple, Kinsta propose une fonction de <strong>protection par mot de passe<\/strong> dans le tableau de bord MyKinsta, sous la page <strong>Outils.<\/strong><\/p>\n<figure style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/password-protection.png\" alt=\"Protection par mot de passe Kinsta.\" width=\"1001\" height=\"471\"><figcaption class=\"wp-caption-text\">Protection par mot de passe Kinsta.<\/figcaption><\/figure>\n<p>Cette fonction permet l&rsquo;authentification HTTP en quelques clics, obligeant les utilisateurs \u00e0 saisir un nom d&rsquo;utilisateur et un mot de passe suppl\u00e9mentaires avant d&rsquo;acc\u00e9der \u00e0 la page de connexion de WordPress.<\/p>\n<p>Pour les <a href=\"https:\/\/kinsta.com\/fr\/blog\/qu-est-ce-qu-apache\/\">serveurs Apache<\/a>, cette fonction peut \u00eatre mise en place manuellement en cr\u00e9ant un fichier <code>.htpasswd<\/code>. Vous pouvez utiliser ce <a href=\"http:\/\/www.htaccesstools.com\/htpasswd-generator\/\" target=\"_blank\" rel=\"noopener noreferrer\">g\u00e9n\u00e9rateur<\/a> pratique, puis t\u00e9l\u00e9verser le fichier dans un r\u00e9pertoire situ\u00e9 sous votre dossier <code>wp-admin<\/code>, tel que :<\/p>\n<pre><code class=\"language-bash\">home\/user\/.htpasswds\/public_html\/wp-admin\/htpasswd\/<\/code><\/pre>\n<p>Ensuite, cr\u00e9ez un fichier <code>.htaccess<\/code> avec le code suivant et t\u00e9l\u00e9versez-le dans votre r\u00e9pertoire <code>\/wp-admin\/<\/code>. Veillez \u00e0 mettre \u00e0 jour le chemin d&rsquo;acc\u00e8s au r\u00e9pertoire et le nom d&rsquo;utilisateur.<\/p>\n<pre><code class=\"language-bash\">AuthName \"Admins Only\"\nAuthUserFile \/home\/yourdirectory\/.htpasswds\/public_html\/wp-admin\/htpasswd\nAuthType basic\nrequire user yourusername<\/code><\/pre>\n<p>Le seul inconv\u00e9nient de cette m\u00e9thode est qu&rsquo;elle interrompt AJAX (admin-ajax) sur l&rsquo;interface publique de votre site. Certaines extensions tierces en ont besoin. Par cons\u00e9quent, vous devez \u00e9galement ajouter le code suivant au fichier <code>.htaccess<\/code> ci-dessus.<\/p>\n<pre><code class=\"language-bash\">&lt;Files admin-ajax.php&gt;\nOrder allow,deny\nAllow from all\nSatisfy any\n&lt;\/Files&gt;<\/code><\/pre>\n<p>Si vous utilisez <a href=\"https:\/\/kinsta.com\/fr\/blog\/qu-est-ce-que-nginx\/\">Nginx<\/a>, vous pouvez \u00e9galement restreindre l&rsquo;acc\u00e8s avec l&rsquo;authentification de base HTTP. Consultez <a href=\"https:\/\/www.nginx.com\/resources\/admin-guide\/restricting-access-auth-basic\/\" target=\"_blank\" rel=\"noopener noreferrer\">ce tutoriel<\/a>.<\/p>\n<h3>Restreindre l&rsquo;acc\u00e8s des administrateurs par adresse IP<\/h3>\n<p>Les pirates utilisent souvent des attaques par force brute pour cibler la page de connexion de WordPress, en essayant des milliers de combinaisons de mots de passe jusqu&rsquo;\u00e0 ce qu&rsquo;ils s&rsquo;introduisent. Mais s&rsquo;ils ne peuvent m\u00eame pas atteindre l&rsquo;\u00e9cran de connexion, leurs attaques deviennent inutiles.<\/p>\n<p>Vous pouvez y parvenir en limitant l&rsquo;acc\u00e8s \u00e0 des adresses IP sp\u00e9cifiques. Vous vous assurez ainsi que seuls les utilisateurs des sites approuv\u00e9s peuvent se connecter et que tous les autres sont bloqu\u00e9s, m\u00eame s&rsquo;ils disposent des informations d&rsquo;identification correctes.<\/p>\n<p>Si vous utilisez un <a href=\"https:\/\/kinsta.com\/fr\/blog\/qu-est-ce-qu-un-pare-feu\/\">Web Application Firewall<\/a> (WAF) tel que Cloudflare, sa fonction <a href=\"https:\/\/developers.cloudflare.com\/waf\/tools\/zone-lockdown\/\" target=\"_blank\" rel=\"noopener noreferrer\">Zone Lockdown<\/a> vous permet de limiter l&rsquo;acc\u00e8s \u00e0 <code>\/wp-admin\/<\/code> et <code>\/wp-login.php\/<\/code> aux seules adresses IP approuv\u00e9es.<\/p>\n<figure style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/cloudflare-zone-lockdown.png\" alt=\"R\u00e8gle de verrouillage de zone de Cloudflare.\" width=\"1001\" height=\"471\"><figcaption class=\"wp-caption-text\">R\u00e8gle de verrouillage de zone de Cloudflare.<\/figcaption><\/figure>\n<p>Cependant, Cloudflare recommande d\u00e9sormais d&rsquo;utiliser des <a href=\"https:\/\/developers.cloudflare.com\/waf\/custom-rules\/\" target=\"_blank\" rel=\"noopener noreferrer\">r\u00e8gles WAF personnalis\u00e9es<\/a>, car elles offrent plus de flexibilit\u00e9.<\/p>\n<figure style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/custom-waf-rules.png\" alt=\"R\u00e8gles WAF personnalis\u00e9es.\" width=\"1001\" height=\"471\"><figcaption class=\"wp-caption-text\">R\u00e8gles WAF personnalis\u00e9es.<\/figcaption><\/figure>\n<p>Pour les utilisateurs de Sucuri, le pare-feu restreint automatiquement l&rsquo;acc\u00e8s aux pages d&rsquo;administration \u00e0 moins qu&rsquo;une IP ne soit inscrite sur la liste d&rsquo;autorisation. Si vous \u00eates bloqu\u00e9, vous pouvez ajouter manuellement votre IP actuelle \u00e0 la liste d&rsquo;autorisation depuis le tableau de bord de Sucuri.<\/p>\n<p>Si vous g\u00e9rez votre propre serveur et que vous disposez d&rsquo;une adresse IP statique, vous pouvez restreindre manuellement l&rsquo;acc\u00e8s via <code>.htaccess<\/code> (Apache) ou la configuration de Nginx en sp\u00e9cifiant les IP autoris\u00e9es. Toutefois, cette m\u00e9thode n&rsquo;est pratique que pour les utilisateurs qui ne changent pas fr\u00e9quemment de r\u00e9seau.<\/p>\n<p>L\u00e0 encore, cette m\u00e9thode n&rsquo;est pas id\u00e9ale pour les sites de commerce \u00e9lectronique ou les plateformes d&rsquo;adh\u00e9sion, car ils d\u00e9pendent d&rsquo;un acc\u00e8s fr\u00e9quent au backend de la part de plusieurs utilisateurs. Le blocage de l&rsquo;acc\u00e8s par IP pourrait emp\u00eacher les clients l\u00e9gitimes ou les membres de l&rsquo;\u00e9quipe de g\u00e9rer leurs comptes, ce qui fait que d&rsquo;autres mesures de s\u00e9curit\u00e9 &#8211; telles que l&rsquo;authentification \u00e0 deux facteurs (2FA) et les politiques de mots de passe forts &#8211; constituent un meilleur choix pour ces types de sites.<\/p>\n<h2>6. Utiliser des noms d&rsquo;utilisateur et des mots de passe robustes<\/h2>\n<p>Les identifiants faibles restent l&rsquo;un des moyens les plus faciles pour les pirates de s&rsquo;introduire dans un site WordPress. Chaque ann\u00e9e, des <a href=\"https:\/\/nordpass.com\/most-common-passwords-list\/\" target=\"_blank\" rel=\"noopener noreferrer\">rapports de s\u00e9curit\u00e9<\/a> montrent que des millions de personnes utilisent encore des mots de passe tels que \u00ab 123456 \u00bb, \u00ab password \u00bb ou \u00ab qwerty \u00bb, qui peuvent tous \u00eatre d\u00e9chiffr\u00e9s en quelques secondes. Les pirates s&rsquo;appuient sur des attaques par force brute, en utilisant des scripts automatis\u00e9s pour deviner rapidement les identifiants de connexion.<\/p>\n<p>Pour prot\u00e9ger votre site, utilisez toujours des mots de passe longs et complexes, compos\u00e9s de lettres majuscules et minuscules, de chiffres et de symboles. La gestion de mots de passe complexes est plus facile que jamais gr\u00e2ce \u00e0 des outils tels que le <a href=\"https:\/\/passwords.google.com\/\" target=\"_blank\" rel=\"noopener noreferrer\">gestionnaire de mots de passe Google<\/a>, qui sugg\u00e8re des mots de passe et les stocke en toute s\u00e9curit\u00e9 pour vous.<\/p>\n<figure style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/google-password-manager.png\" alt=\"Gestionnaire de mots de passe Google.\" width=\"1001\" height=\"471\"><figcaption class=\"wp-caption-text\">Gestionnaire de mots de passe Google.<\/figcaption><\/figure>\n<p>Si vous utilisez Kinsta, notre plateforme g\u00e9n\u00e8re automatiquement des mots de passe forts lors de la cr\u00e9ation d&rsquo;un nouveau compte WordPress. Vous pouvez les stocker en toute s\u00e9curit\u00e9 dans un gestionnaire de mots de passe comme <a href=\"https:\/\/kinsta.com\/fr\/blog\/gestionnaires-mots-passe\/#8-1password\">1Password<\/a> ou <a href=\"https:\/\/kinsta.com\/fr\/blog\/gestionnaires-mots-passe\/#6-lastpass\">LastPass<\/a>, ce qui vous permet de ne jamais avoir \u00e0 r\u00e9utiliser vos mots de passe sur diff\u00e9rents sites.<\/p>\n<figure id=\"attachment_105548\" aria-describedby=\"caption-attachment-105548\" style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/kinsta-auto-password.png\" alt=\"Kinsta Generate password\" width=\"1001\" height=\"471\"><figcaption id=\"caption-attachment-105548\" class=\"wp-caption-text\">Kinsta G\u00e9n\u00e9rer un mot de passe.<\/figcaption><\/figure>\n<p>Une autre \u00e9tape cruciale consiste \u00e0 \u00e9viter le nom d&rsquo;utilisateur par d\u00e9faut \u00ab admin \u00bb. Les pirates ciblent souvent ce nom d&rsquo;utilisateur dans les attaques par force brute. Au lieu de cela, cr\u00e9ez un nom d&rsquo;utilisateur administrateur unique et supprimez l&rsquo;utilisateur \u00ab admin \u00bb par d\u00e9faut. Vous pouvez le faire sous <strong>Utilisateurs<\/strong> &gt; <strong>Ajouter un nouvel utilisateur<\/strong> dans votre tableau de bord WordPress.<\/p>\n<figure style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/wordpress-role.png\" alt=\"R\u00f4le WordPress.\" width=\"1001\" height=\"471\"><figcaption class=\"wp-caption-text\">R\u00f4le WordPress.<\/figcaption><\/figure>\n<p>Une fois le nouveau compte cr\u00e9\u00e9, supprimez l&rsquo;ancien et r\u00e9affectez le contenu \u00e0 votre nouveau compte d&rsquo;administrateur.<\/p>\n<p>Si vous g\u00e9rez directement la base de donn\u00e9es, vous pouvez renommer votre nom d&rsquo;utilisateur administrateur dans <a href=\"https:\/\/kinsta.com\/fr\/blog\/installer-phpmyadmin\/\">phpMyAdmin<\/a> avec la commande suivante (sauvegardez toujours votre base de donn\u00e9es avant d&rsquo;effectuer des modifications) :<\/p>\n<pre><code class=\"language-bash\">UPDATE wp_users SET user_login = 'newcomplexadminuser' WHERE user_login = 'admin';<\/code><\/pre>\n<h2>7. Activer l&rsquo;authentification \u00e0 deux facteurs (2FA)<\/h2>\n<p>Quelle que soit la solidit\u00e9 de votre mot de passe, il existe toujours un risque qu&rsquo;il soit vol\u00e9 ou devin\u00e9. L&rsquo;<a href=\"https:\/\/kinsta.com\/fr\/blog\/authentification-deux-facteurs-sur-wordpress\/\">authentification \u00e0 deux facteurs<\/a> (2FA) ajoute une couche suppl\u00e9mentaire de s\u00e9curit\u00e9 en exigeant une deuxi\u00e8me forme de v\u00e9rification avant d&rsquo;accorder l&rsquo;acc\u00e8s.<\/p>\n<p>Il s&rsquo;agit g\u00e9n\u00e9ralement de saisir un code \u00e0 usage unique g\u00e9n\u00e9r\u00e9 par une <a href=\"https:\/\/kinsta.com\/fr\/blog\/authentification-deux-facteurs-sur-wordpress\/#google-authenticator\">application d&rsquo;authentification<\/a>, un message SMS ou une cl\u00e9 de s\u00e9curit\u00e9. \u00c9tant donn\u00e9 que les attaquants ont rarement acc\u00e8s \u00e0 la fois \u00e0 votre mot de passe et \u00e0 votre dispositif d&rsquo;authentification \u00e0 deux facteurs, l&rsquo;activation de l&rsquo;authentification \u00e0 deux facteurs est l&rsquo;un des moyens les plus efficaces d&#8217;emp\u00eacher les connexions non autoris\u00e9es.<\/p>\n<p>L&rsquo;authentification \u00e0 deux facteurs doit \u00eatre activ\u00e9e dans deux domaines cl\u00e9s :<\/p>\n<ul>\n<li>Votre compte d&rsquo;h\u00e9bergement : Si quelqu&rsquo;un acc\u00e8de au tableau de bord de votre h\u00e9bergeur, il peut changer les mots de passe, modifier les param\u00e8tres DNS ou m\u00eame supprimer votre site. Chez Kinsta, nous fournissons l&rsquo;<a href=\"https:\/\/kinsta.com\/fr\/docs\/reglages-utilisateur\/connexion\/#enable-two-factor-authentication-2-fa\">authentification \u00e0 deux facteurs pour MyKinsta<\/a>, en demandant un code unique \u00e0 partir d&rsquo;une application d&rsquo;authentification comme Google Authenticator pour s&rsquo;assurer que seuls les utilisateurs autoris\u00e9s peuvent acc\u00e9der aux comptes d&rsquo;h\u00e9bergement.<\/li>\n<li>Votre page de connexion WordPress : Bien que WordPress n&rsquo;int\u00e8gre pas de 2FA, vous pouvez l&rsquo;activer en utilisant des extensions telles que <a href=\"https:\/\/wordpress.org\/plugins\/miniorange-2-factor-authentication\/\" target=\"_blank\" rel=\"noopener noreferrer\">Google Authenticator<\/a> ou <a href=\"https:\/\/wordpress.org\/plugins\/two-factor-authentication\/\" target=\"_blank\" rel=\"noopener noreferrer\">Two Factor Authentication<\/a>. Ces extensions s&rsquo;int\u00e8grent aux applications d&rsquo;authentification et vous demandent de saisir un code de s\u00e9curit\u00e9 \u00e0 usage unique lorsque vous vous connectez.<\/li>\n<\/ul>\n<p>Une fois l&rsquo;option activ\u00e9e, votre page de connexion WordPress vous demande un code de s\u00e9curit\u00e9 suppl\u00e9mentaire, ce qui r\u00e9duit consid\u00e9rablement le risque d&rsquo;acc\u00e8s non autoris\u00e9, m\u00eame si quelqu&rsquo;un vole votre mot de passe.<\/p>\n<h2>8. Utiliser HTTPS pour des connexions crypt\u00e9es avec un certificat SSL<\/h2>\n<p>L&rsquo;un des moyens les plus n\u00e9glig\u00e9s pour renforcer la s\u00e9curit\u00e9 de votre site WordPress est d&rsquo;<a href=\"https:\/\/kinsta.com\/fr\/docs\/hebergement-wordpress\/domaines-wordpress\/vertificats-ssl-wordpress\/\">installer un certificat SSL<\/a> et de faire fonctionner votre site sur HTTPS (Hypertext Transfer Protocol Secure).<\/p>\n<p>Le protocole HTTPS crypte les donn\u00e9es \u00e9chang\u00e9es entre votre site web et ses visiteurs, emp\u00eachant ainsi les pirates d&rsquo;intercepter des informations sensibles. Bien que de nombreuses personnes pensent que les certificats SSL ne sont n\u00e9cessaires que pour les sites de commerce \u00e9lectronique, la r\u00e9alit\u00e9 est que tout site web qui collecte des identifiants de connexion, des donn\u00e9es utilisateur, ou m\u00eame simplement des analyses de trafic, b\u00e9n\u00e9ficie du cryptage.<\/p>\n<p>De nombreux fournisseurs d&rsquo;h\u00e9bergement, y compris Kinsta, \u00e9mettent automatiquement des <a href=\"https:\/\/kinsta.com\/fr\/docs\/hebergement-wordpress\/domaines-wordpress\/vertificats-ssl-wordpress\/\">certificats SSL gratuits<\/a> avec un support wildcard gr\u00e2ce \u00e0 notre int\u00e9gration Cloudflare, ce qui rend la s\u00e9curisation de votre site plus facile que jamais.<\/p>\n<p>Si votre site fonctionne encore sur HTTP, voici pourquoi vous devriez changer imm\u00e9diatement :<\/p>\n<ul>\n<li><strong>S\u00e9curit\u00e9 :<\/strong> Sans HTTPS, les identifiants de connexion et les donn\u00e9es utilisateur sont envoy\u00e9s en texte clair, ce qui en fait des cibles faciles pour les pirates. HTTPS crypte ces informations, emp\u00eachant ainsi les attaques de type \u00ab man-in-the-middle \u00bb et s\u00e9curisant toutes les interactions sur votre site.<\/li>\n<li><strong>R\u00c9F\u00c9RENCEMENT :<\/strong> <a href=\"https:\/\/developers.google.com\/search\/blog\/2014\/08\/https-as-ranking-signal\" target=\"_blank\" rel=\"noopener noreferrer\">Google a confirm\u00e9<\/a> que le protocole HTTPS est un facteur de classement. M\u00eame s&rsquo;il s&rsquo;agit d&rsquo;un facteur mineur, une connexion s\u00e9curis\u00e9e est un gage de fiabilit\u00e9, ce qui peut am\u00e9liorer la visibilit\u00e9 dans les moteurs de recherche.<\/li>\n<li><strong>Confiance et cr\u00e9dibilit\u00e9 :<\/strong> Les visiteurs recherchent des indicateurs de s\u00e9curit\u00e9 tels que l&rsquo;ic\u00f4ne du cadenas. Selon une ancienne enqu\u00eate de <a href=\"http:\/\/downloads.globalsign.com\/acton\/attachment\/2674\/f-0360\/1\/-\/-\/-\/-\/increase-conversions-with-SSL.pdf\" target=\"_blank\" rel=\"noopener noreferrer\">GlobalSign<\/a>, 84 % des acheteurs renoncent \u00e0 un achat si les donn\u00e9es sont envoy\u00e9es via une connexion non s\u00e9curis\u00e9e, et 29 % v\u00e9rifient activement la pr\u00e9sence de HTTPS avant de s&rsquo;engager sur un site.<\/li>\n<li><strong>Avertissements du navigateur :<\/strong> <a href=\"https:\/\/blog.chromium.org\/2018\/02\/a-secure-web-is-here-to-stay.html\" target=\"_blank\" rel=\"noopener noreferrer\">Chrome<\/a> et d&rsquo;autres navigateurs signalent d\u00e9sormais les sites HTTP comme \u00e9tant \u00ab non s\u00e9curis\u00e9s \u00bb, ce qui dissuade les visiteurs de continuer. Chrome inclut \u00e9galement une option <strong>(Toujours utiliser des connexions s\u00e9curis\u00e9es)<\/strong> pour avertir les utilisateurs avant de visiter des sites qui ne prennent pas en charge le protocole HTTPS.<\/li>\n<li><strong>Donn\u00e9es de r\u00e9f\u00e9rence :<\/strong> Le protocole HTTPS pr\u00e9serve les donn\u00e9es de r\u00e9f\u00e9rence dans Google Analytics, alors que le trafic HTTP est souvent class\u00e9 \u00e0 tort comme du trafic direct, ce qui complique le suivi des sources.<\/li>\n<li><strong>Performances :<\/strong> Le protocole HTTPS permet l&rsquo;utilisation du <a href=\"https:\/\/kinsta.com\/fr\/apprendre\/http2\/\">protocole HTTP\/2<\/a>, qui am\u00e9liore la vitesse du site gr\u00e2ce \u00e0 un meilleur multiplexage et \u00e0 une meilleure compression. Le <a href=\"https:\/\/kinsta.com\/fr\/blog\/tls-vs-ssl\/\">protocole TLS 1.3<\/a> optimise encore les performances en r\u00e9duisant les temps d&rsquo;\u00e9change. Si votre site est h\u00e9berg\u00e9 sur Kinsta, <a href=\"https:\/\/kinsta.com\/fr\/blog\/tls-1-3\/\">les deux sont pris en charge<\/a> sur tous les serveurs, et <a href=\"https:\/\/kinsta.com\/fr\/blog\/http3\/\">HTTP\/3 est enti\u00e8rement pris en charge<\/a> gr\u00e2ce \u00e0 notre int\u00e9gration Cloudflare, garantissant des connexions encore plus rapides et plus fiables.<\/li>\n<\/ul>\n<p>Pour appliquer HTTPS sur votre site WordPress, vous pouvez d\u00e9finir l&rsquo;application de SSL dans votre fichier <code>wp-config.php<\/code> en ajoutant la ligne suivante :<\/p>\n<pre><code class=\"language-bash\">define('FORCE_SSL_ADMIN', true);<\/code><\/pre>\n<p>Si vous utilisez encore le protocole HTTP, il est temps de migrer. Le passage \u00e0 HTTPS n&rsquo;est plus optionnel &#8211; c&rsquo;est une \u00e9tape essentielle pour la s\u00e9curit\u00e9, le r\u00e9f\u00e9rencement et la confiance des utilisateurs. Si vous avez besoin d&rsquo;aide, consultez notre <a href=\"https:\/\/kinsta.com\/fr\/blog\/http-vers-https\/\">guide de migration WordPress HTTPS<\/a> pour assurer une transition en douceur.<\/p>\n<h2>9. Ajouter les derniers en-t\u00eates de s\u00e9curit\u00e9 HTTP<\/h2>\n<p>Une autre fa\u00e7on de renforcer la s\u00e9curit\u00e9 de votre site WordPress est de mettre en place des en-t\u00eates de s\u00e9curit\u00e9 HTTP. Ces en-t\u00eates indiquent aux navigateurs comment traiter le contenu de votre site, ce qui permet de pr\u00e9venir les attaques telles que les XSS (<a href=\"https:\/\/portswigger.net\/web-security\/cross-site-scripting\" target=\"_blank\" rel=\"noopener noreferrer\">Cross-Site Scripting<\/a>) et le clickjacking. Ils sont g\u00e9n\u00e9ralement configur\u00e9s au niveau du serveur web, et bien qu&rsquo;il en existe de nombreux, les plus importants sont les suivants :<\/p>\n<ul>\n<li><strong>Politique de s\u00e9curit\u00e9 du contenu (CSP) :<\/strong> Elle limite les ressources (scripts, styles, images) qui peuvent \u00eatre charg\u00e9es sur votre site afin d&#8217;emp\u00eacher les injections malveillantes.<\/li>\n<li><strong>Strict-Transport-Security (HSTS) :<\/strong> Force les navigateurs \u00e0 toujours utiliser HTTPS, ce qui garantit des connexions s\u00e9curis\u00e9es.<\/li>\n<li><strong>X-Frame-Options :<\/strong> Emp\u00eache votre site d&rsquo;\u00eatre int\u00e9gr\u00e9 dans des iframes, ce qui le prot\u00e8ge contre le d\u00e9tournement de clics.<\/li>\n<li><strong>X-Content-Type-Options :<\/strong> Emp\u00eache les navigateurs de renifler les donn\u00e9es MIME, ce qui r\u00e9duit le risque de certains types d&rsquo;attaques.<\/li>\n<\/ul>\n<aside role=\"note\" class=\"wp-block-kinsta-notice is-style-important\">\n            <h3>Important<\/h3>\n        <p>Vous pourriez tomber sur d&rsquo;anciens articles recommandant l&rsquo;en-t\u00eate X-XSS-Protection pour emp\u00eacher les attaques de type cross-site scripting. Cependant, cet en-t\u00eate <a href=\"https:\/\/developer.mozilla.org\/en-US\/docs\/Web\/HTTP\/Reference\/Headers\/X-XSS-Protection\">est d\u00e9sormais obsol\u00e8te<\/a> et ne doit pas \u00eatre utilis\u00e9, car il n&rsquo;est pas standard, n&rsquo;est pas pris en charge par les navigateurs modernes et peut m\u00eame introduire de nouvelles vuln\u00e9rabilit\u00e9s. Utilisez plut\u00f4t une politique de s\u00e9curit\u00e9 de contenu (Content-Security-Policy) forte pour vous prot\u00e9ger contre les attaques XSS.<\/p>\n<\/aside>\n\n<p>Pour v\u00e9rifier quels en-t\u00eates de s\u00e9curit\u00e9 sont actifs sur votre site WordPress, ouvrez <strong>Chrome DevTools<\/strong>, allez dans l&rsquo;onglet <strong>R\u00e9seau<\/strong> et regardez les en-t\u00eates de r\u00e9ponse de la requ\u00eate initiale de votre site.<\/p>\n<figure style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/devtools-network.png\" alt=\"Chrome DevTools network.\" width=\"1001\" height=\"471\"><figcaption class=\"wp-caption-text\">Chrome DevTools network.<\/figcaption><\/figure>\n<p>Vous pouvez \u00e9galement analyser votre site \u00e0 l&rsquo;aide de l&rsquo;outil gratuit <a href=\"https:\/\/securityheaders.io\/\" target=\"_blank\" rel=\"noopener noreferrer\">securityheaders.io<\/a> pour voir quels en-t\u00eates sont en place et lesquels sont manquants.<\/p>\n<aside role=\"note\" class=\"wp-block-kinsta-notice is-style-important\">\n            <h3>Important<\/h3>\n        <p>Gardez \u00e0 l&rsquo;esprit que l&rsquo;ajout de certains en-t\u00eates, comme <a href=\"https:\/\/content-security-policy.com\/\" target=\"_blank\" rel=\"noopener noreferrer\">Content-Security-Policy<\/a>, peut affecter les <a href=\"https:\/\/kinsta.com\/fr\/blog\/sous-domaine-wordpress\/\">sous-domaines<\/a>, alors assurez-vous que tous les sous-domaines n\u00e9cessaires sont inclus dans votre configuration.<\/p>\n<\/aside>\n\n<h2>10. Utiliser toujours des connexions s\u00e9curis\u00e9es<\/h2>\n<p>Nous n&rsquo;insisterons jamais assez sur l&rsquo;importance d&rsquo;<a href=\"https:\/\/kinsta.com\/fr\/blog\/comment-utiliser-sftp\/\">utiliser des connexions s\u00e9curis\u00e9es<\/a>! Assurez-vous que votre h\u00e9bergeur WordPress prend des pr\u00e9cautions, en proposant par exemple <a href=\"https:\/\/kinsta.com\/fr\/blog\/fonctionnalites-sftp-ssh\/\">SFTP ou SSH<\/a>, car ils cryptent les donn\u00e9es pendant la transmission, emp\u00eachant ainsi les attaquants d&rsquo;intercepter des informations sensibles. Il s&rsquo;agit d&rsquo;une m\u00e9thode plus s\u00fbre que le <a href=\"https:\/\/kinsta.com\/fr\/blog\/ftp-vs-sftp\/\">FTP<\/a> standard.<\/p>\n<p>Chez Kinsta, nous ne prenons en charge que les <a href=\"https:\/\/kinsta.com\/fr\/docs\/hebergement-wordpress\/connexion-avec-sftp\/\">connexions SFTP<\/a> pour assurer la s\u00e9curit\u00e9 de vos donn\u00e9es et, contrairement \u00e0 la plupart des h\u00e9bergeurs qui utilisent le port 22, chaque site chez Kinsta dispose d&rsquo;un port al\u00e9atoire pour une s\u00e9curit\u00e9 accrue. Vous trouverez les d\u00e9tails de votre SFTP dans le tableau de bord MyKinsta.<\/p>\n<figure style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/kinsta-sftp-port.png\" alt=\"Port SFTP de Kinsta.\" width=\"1001\" height=\"471\"><figcaption class=\"wp-caption-text\">Port SFTP de Kinsta.<\/figcaption><\/figure>\n<p>Au-del\u00e0 de la s\u00e9curit\u00e9 des serveurs, il est tout aussi important de s\u00e9curiser votre r\u00e9seau domestique. Un routeur domestique compromis pourrait exposer des donn\u00e9es critiques concernant vos sites WordPress. Pour r\u00e9duire les risques :<\/p>\n<ul>\n<li>D\u00e9sactivez la gestion \u00e0 distance (VPN) sauf en cas d&rsquo;absolue n\u00e9cessit\u00e9.<\/li>\n<li>Utilisez une plage d&rsquo;adresses IP priv\u00e9e autre que celle par d\u00e9faut au lieu de 192.168.1.1 (par exemple 10.9.8.7).<\/li>\n<li>Activez un cryptage fort sur votre r\u00e9seau Wi-Fi.<\/li>\n<li>Autorisez les adresses IP pour restreindre l&rsquo;acc\u00e8s aux appareils de confiance.<\/li>\n<li>Maintenez le micrologiciel de votre routeur \u00e0 jour pour corriger les vuln\u00e9rabilit\u00e9s.<\/li>\n<\/ul>\n<p>Soyez \u00e9galement prudent lorsque vous vous connectez \u00e0 WordPress \u00e0 partir de r\u00e9seaux publics. Le Wi-Fi gratuit dans les caf\u00e9s ou les a\u00e9roports n&rsquo;est pas s\u00e9curis\u00e9 et les pirates peuvent facilement intercepter le trafic. Si vous devez acc\u00e9der \u00e0 votre site sur un r\u00e9seau public, utilisez un service <a href=\"https:\/\/kinsta.com\/fr\/blog\/comment-fonctionne-vpn\/\">VPN<\/a> de confiance comme <a href=\"https:\/\/www.expressvpn.com\/\" target=\"_blank\" rel=\"noopener noreferrer\">ExpressVPN<\/a> ou <a href=\"https:\/\/nordvpn.com\/\" target=\"_blank\" rel=\"noopener noreferrer\">NordVPN<\/a> pour crypter votre connexion et cacher votre IP aux attaquants potentiels.<\/p>\n<h2>11. D\u00e9sactiver l&rsquo;\u00e9dition de fichiers dans votre tableau de bord WordPress<\/h2>\n<p>WordPress permet aux administrateurs de modifier les fichiers de th\u00e8mes et d&rsquo;extensions directement \u00e0 partir du tableau de bord en utilisant l&rsquo;<strong>\u00e9diteur de fichiers de th\u00e8mes<\/strong> ou l&rsquo;<strong>\u00e9diteur de fichiers d&rsquo;extensions<\/strong>.<\/p>\n<figure style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/theme-file-editor.png\" alt=\"\u00c9diteur de fichier de th\u00e8me.\" width=\"1001\" height=\"471\"><figcaption class=\"wp-caption-text\">\u00c9diteur de fichier de th\u00e8me.<\/figcaption><\/figure>\n<p>Bien que cette fonctionnalit\u00e9 puisse sembler pratique, elle peut pr\u00e9senter un risque s\u00e9rieux pour la s\u00e9curit\u00e9 &#8211; en particulier sur les sites avec plusieurs utilisateurs. Si un pirate acc\u00e8de \u00e0 un compte administrateur, la premi\u00e8re chose qu&rsquo;il peut faire est de modifier les fichiers PHP pour y injecter du code malveillant.<\/p>\n<p>M\u00eame pour les propri\u00e9taires de sites, il est risqu\u00e9 de modifier des fichiers directement dans le tableau de bord. Une petite erreur de codage peut entra\u00eener l&rsquo;apparition de l&rsquo;<a href=\"https:\/\/kinsta.com\/fr\/blog\/wsod-ecran-blanc-wordpress\/\">\u00e9cran blanc de la mort<\/a>, rendant votre site inaccessible. Il est toujours plus s\u00fbr de modifier les fichiers localement et de les t\u00e9l\u00e9verser via SFTP, de pr\u00e9f\u00e9rence dans un environnement de test.<\/p>\n<p>Pour d\u00e9sactiver l&rsquo;\u00e9dition de fichiers et emp\u00eacher les modifications non autoris\u00e9es, ajoutez la ligne suivante \u00e0 votre fichier <code>wp-config.php<\/code>:<\/p>\n<pre><code class=\"language-bash\">define('DISALLOW_FILE_EDIT', true);<\/code><\/pre>\n<p>Pour plus de s\u00e9curit\u00e9, envisagez de d\u00e9sactiver compl\u00e8tement la modification des fichiers, ce qui emp\u00eache l&rsquo;installation ou la mise \u00e0 jour d&rsquo;extensions et de th\u00e8mes via le tableau de bord :<\/p>\n<pre><code class=\"language-bash\">define('DISALLOW_FILE_MODS', true);<\/code><\/pre>\n<h2>12. Renfoircer votre fichier wp-config.php<\/h2>\n<p>Votre fichier <code><a href=\"https:\/\/kinsta.com\/fr\/blog\/wp-config-php\/\">wp-config.php<\/a><\/code> est l&rsquo;un des composants les plus critiques de votre installation WordPress. Il stocke les identifiants de connexion \u00e0 la base de donn\u00e9es, les cl\u00e9s d&rsquo;authentification et d&rsquo;autres informations sensibles, ce qui en fait une cible privil\u00e9gi\u00e9e pour les attaquants. La s\u00e9curisation de ce fichier est une \u00e9tape essentielle dans la protection de votre site.<\/p>\n<p>Voici trois fa\u00e7ons de prot\u00e9ger votre fichier <code><a href=\"https:\/\/kinsta.com\/fr\/blog\/wp-config-php\/\">wp-config.php<\/a><\/code> :<\/p>\n<ol start=\"1\">\n<li><strong>D\u00e9placez wp-config.php :<\/strong> Par d\u00e9faut, wp-config.php est situ\u00e9 dans le r\u00e9pertoire racine de votre installation WordPress (<code>\/public_html\/<\/code>). Le d\u00e9placer dans un r\u00e9pertoire non accessible par www <a href=\"http:\/\/wordpress.stackexchange.com\/questions\/58391\/is-moving-wp-config-outside-the-web-root-really-beneficial\/74972#74972\" target=\"_blank\" rel=\"noopener noreferrer\">ajoute une couche de protection suppl\u00e9mentaire<\/a>. Bien que cette m\u00e9thode fonctionne pour de nombreux fournisseurs d&rsquo;h\u00e9bergement, les clients de Kinsta ne devraient pas l&rsquo;essayer, car nos restrictions de s\u00e9curit\u00e9 emp\u00eachent d\u00e9j\u00e0 l&rsquo;acc\u00e8s non autoris\u00e9 \u00e0 <code>wp-config.php<\/code>.<\/li>\n<li><strong>Mettez \u00e0 jour les cl\u00e9s de s\u00e9curit\u00e9 de WordPress :<\/strong> Les <a href=\"https:\/\/codex.wordpress.org\/Editing_wp-config.php#Security_Keys\" target=\"_blank\" rel=\"noopener noreferrer\">cl\u00e9s de s\u00e9curit\u00e9 WordPress<\/a> (<code>AUTH_KEY<\/code>, <code>SECURE_AUTH_KEY<\/code>, <code>LOGGED_IN_KEY<\/code>, <code>NONCE_KEY<\/code>) cryptent les informations stock\u00e9es dans les cookies, ce qui rend votre site plus s\u00fbr. Si votre site a fait l&rsquo;objet de plusieurs migrations ou changements de propri\u00e9taire, il est conseill\u00e9 de g\u00e9n\u00e9rer de nouvelles cl\u00e9s de s\u00e9curit\u00e9. Vous pouvez utiliser le <a href=\"https:\/\/api.wordpress.org\/secret-key\/1.1\/salt\/\" target=\"_blank\" rel=\"noopener noreferrer\">g\u00e9n\u00e9rateur de cl\u00e9s secr\u00e8tes WordPress<\/a> pour cr\u00e9er de nouvelles cl\u00e9s et les mettre \u00e0 jour sur <code>wp-config.php<\/code>.<\/li>\n<li><strong>Modifiez les autorisations de fichiers :<\/strong> L&rsquo;autorisation de fichier par d\u00e9faut pour <code>wp-config.php<\/code> est g\u00e9n\u00e9ralement 644, ce qui permet \u00e0 d&rsquo;autres utilisateurs sur le m\u00eame serveur de le lire. Pour une meilleure s\u00e9curit\u00e9 et conform\u00e9ment \u00e0 la <a href=\"https:\/\/codex.wordpress.org\/Changing_File_Permissions\" target=\"_blank\" rel=\"noopener noreferrer\">documentation de WordPress<\/a>, modifiez ses permissions en 440 ou 400, en limitant l&rsquo;acc\u00e8s au seul propri\u00e9taire du fichier. Cette op\u00e9ration peut \u00eatre effectu\u00e9e \u00e0 l&rsquo;aide d&rsquo;un <a href=\"https:\/\/kinsta.com\/fr\/blog\/meilleurs-clients-ftp\/\">client FTP<\/a> ou d&rsquo;une ligne de commande. Si vous n&rsquo;\u00eates pas s\u00fbr, v\u00e9rifiez aupr\u00e8s de votre h\u00e9bergeur les param\u00e8tres les mieux adapt\u00e9s \u00e0 votre environnement.<\/li>\n<\/ol>\n<h2>13. V\u00e9rifier les autorisations des fichiers et du serveur<\/h2>\n<p>Des autorisations correctes pour les fichiers et le serveur sont essentielles pour s\u00e9curiser votre site WordPress. Si les autorisations sont trop souples, des utilisateurs non autoris\u00e9s peuvent acc\u00e9der aux fichiers et les modifier. Si elles sont trop strictes, des fonctions essentielles du site risquent d&rsquo;\u00eatre interrompues. Trouver le bon \u00e9quilibre permet d&rsquo;assurer la s\u00e9curit\u00e9 tout en pr\u00e9servant les fonctionnalit\u00e9s.<\/p>\n<p>Les autorisations de fichiers d\u00e9terminent qui peut lire, \u00e9crire ou ex\u00e9cuter des fichiers, tandis que les autorisations de r\u00e9pertoires contr\u00f4lent l&rsquo;acc\u00e8s aux dossiers et la possibilit\u00e9 d&rsquo;en modifier le contenu. Pour WordPress, les permissions recommand\u00e9es sont les suivantes<\/p>\n<ul>\n<li><strong>Fichiers :<\/strong> Doivent \u00eatre r\u00e9gl\u00e9s sur <strong>644<\/strong> ou <strong>640<\/strong>, sauf pour <code>wp-config.php<\/code>, qui doit \u00eatre r\u00e9gl\u00e9 sur <strong>440<\/strong> ou <strong>400<\/strong> pour emp\u00eacher tout acc\u00e8s non autoris\u00e9.<\/li>\n<li><strong>R\u00e9pertoires :<\/strong> Les permissions doivent \u00eatre de <strong>755<\/strong> ou <strong>750<\/strong> pour permettre \u00e0 WordPress de fonctionner correctement tout en limitant les acc\u00e8s non n\u00e9cessaires.<\/li>\n<li><strong>N&rsquo;utilisez jamais les autorisations 777<\/strong>, m\u00eame pour les r\u00e9pertoires de t\u00e9l\u00e9versement, car elles permettent un acc\u00e8s illimit\u00e9, ce qui rend votre site vuln\u00e9rable.<\/li>\n<\/ul>\n<p>Vous pouvez v\u00e9rifier et ajuster les autorisations de fichiers \u00e0 l&rsquo;aide d&rsquo;un client FTP ou d&rsquo;une extension de s\u00e9curit\u00e9 comme <a href=\"https:\/\/wordpress.org\/plugins\/better-wp-security\/\" target=\"_blank\" rel=\"noopener noreferrer\">Solid Security<\/a>, qui analyse votre site \u00e0 la recherche d&rsquo;autorisations incorrectes.<\/p>\n<p>Pour obtenir un guide d\u00e9taill\u00e9 sur la modification des autorisations de fichiers, consultez la <a href=\"https:\/\/developer.wordpress.org\/advanced-administration\/server\/file-permissions\/\" target=\"_blank\" rel=\"noopener noreferrer\">documentation officielle <\/a><a href=\"https:\/\/developer.wordpress.org\/advanced-administration\/server\/file-permissions\/\" target=\"_blank\" rel=\"noopener noreferrer\">de WordPress<\/a> afin de vous assurer que vos r\u00e9glages respectent les meilleures pratiques en mati\u00e8re de s\u00e9curit\u00e9.<\/p>\n<h2>14. Renforcer la s\u00e9curit\u00e9 de la base de donn\u00e9es<\/h2>\n<p>La s\u00e9curisation de votre <a href=\"https:\/\/kinsta.com\/fr\/blog\/bases-de-donnees-wordpress\/\">base de donn\u00e9es WordPress<\/a> ajoute une couche suppl\u00e9mentaire de protection contre les attaques. Une fa\u00e7on simple de le faire est d&rsquo;utiliser un nom de base de donn\u00e9es unique au lieu du format par d\u00e9faut, qui inclut souvent le nom du site, ce qui le rend plus facile \u00e0 identifier pour les pirates.<\/p>\n<p>Par exemple, si votre site s&rsquo;appelle <strong>Volleyball Tricks<\/strong>, votre base de donn\u00e9es peut s&rsquo;appeler <code>wp_volleyballtricks<\/code> par d\u00e9faut. En la rempla\u00e7ant par un nom moins pr\u00e9visible, vous la rendez plus difficile \u00e0 cibler.<\/p>\n<p>Une autre \u00e9tape importante consiste \u00e0 modifier le pr\u00e9fixe de la table de la base de donn\u00e9es par d\u00e9faut de <code>wp_<\/code> \u00e0 quelque chose de plus obscur, comme <code>39xw_<\/code>, ce qui permet d&rsquo;\u00e9viter les attaques automatis\u00e9es qui ciblent les structures de table standard. Vous pouvez le faire lors de l&rsquo;installation de WordPress ou le modifier ult\u00e9rieurement en prenant les pr\u00e9cautions n\u00e9cessaires.<\/p>\n<p>Si vous avez besoin d&rsquo;aide, ce <a href=\"https:\/\/kinsta.com\/fr\/blog\/prefixe-tables-wordpress\/\">guide \u00e9tape par \u00e9tape<\/a> explique comment modifier le pr\u00e9fixe de table de WordPress manuellement ou \u00e0 l&rsquo;aide d&rsquo;extensions.<\/p>\n<h2>15. D\u00e9sactiver XML-RPC<\/h2>\n<p>Ces derni\u00e8res ann\u00e9es, <a href=\"https:\/\/kinsta.com\/fr\/blog\/xmlrpc-php\/\"> XML-RPC<\/a> est devenu une cible courante pour les attaques par force brute. L&rsquo;une de ses vuln\u00e9rabilit\u00e9s cach\u00e9es est la m\u00e9thode <strong>system.multicall<\/strong>, qui permet d&rsquo;ex\u00e9cuter plusieurs commandes dans une seule requ\u00eate HTTP.<\/p>\n<p>Bien que cette fonctionnalit\u00e9 ait \u00e9t\u00e9 con\u00e7ue \u00e0 l&rsquo;origine comme utile, les attaquants l&rsquo;exploitent pour envoyer des milliers de tentatives de connexion en m\u00eame temps, ce qui rend les attaques par force brute plus efficaces.<\/p>\n<p>Certaines extensions, comme <a href=\"https:\/\/kinsta.com\/fr\/blog\/wordpress-jetpack\/\">Jetpack<\/a>, s&rsquo;appuient encore sur XML-RPC, mais la plupart des sites WordPress n&rsquo;en ont pas besoin. Si vous n&rsquo;\u00eates pas s\u00fbr que <a href=\"https:\/\/xmlrpc.eritreo.it\/\" target=\"_blank\" rel=\"noopener noreferrer\">XML-RPC<\/a> soit activ\u00e9 sur votre site, vous pouvez utiliser l&rsquo;<a href=\"https:\/\/xmlrpc.blog\/\" target=\"_blank\" rel=\"noopener noreferrer\">outil XML-RPC Validator<\/a>. L&rsquo;ex\u00e9cution de votre site par l&rsquo;outil confirme si XML-RPC est actif.<\/p>\n<figure style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/image3-1.png\" alt=\"XML-RPC.\" width=\"1001\" height=\"471\"><figcaption class=\"wp-caption-text\">XML-RPC.<\/figcaption><\/figure>\n<p>Si vous n&rsquo;avez pas besoin de XML-RPC, sa d\u00e9sactivation peut am\u00e9liorer la s\u00e9curit\u00e9 de votre site. Vous pouvez :<\/p>\n<ul>\n<li>Installer l&rsquo;<a href=\"https:\/\/wordpress.org\/plugins\/disable-xml-rpc-api\/\" target=\"_blank\" rel=\"noopener noreferrer\">extension Disable XML-RPC-API<\/a> pour le d\u00e9sactiver compl\u00e8tement.<\/li>\n<li>Utiliser l&rsquo;extension <a href=\"https:\/\/perfmatters.io\/\" target=\"_blank\" rel=\"noopener noreferrer\">Perfmatters<\/a> pour d\u00e9sactiver XML-RPC tout en am\u00e9liorant les performances du site.<\/li>\n<\/ul>\n<p>Pour les clients de Kinsta, il n&rsquo;est pas n\u00e9cessaire de prendre des mesures. Lorsqu&rsquo;une <a href=\"https:\/\/kinsta.com\/fr\/blog\/xmlrpc-php\/\">attaque XML-RPC est d\u00e9tect\u00e9e<\/a>, une r\u00e8gle de s\u00e9curit\u00e9 est automatiquement ajout\u00e9e \u00e0 la configuration de Nginx, bloquant la requ\u00eate et renvoyant une erreur 403.<\/p>\n<pre><code class=\"language-bash\">location ~* ^\/xmlrpc.php$ {\n  return 403;\n}<\/code><\/pre>\n<p>Si votre site ne repose pas sur XML-RPC, le d\u00e9sactiver est un moyen facile de r\u00e9duire votre surface d&rsquo;attaque et d&rsquo;am\u00e9liorer la s\u00e9curit\u00e9 de WordPress.<\/p>\n<h2>16. Emp\u00eacher le hotlinking<\/h2>\n<p>Il y a hotlinking lorsqu&rsquo;un autre site web \u00e9tablit un lien direct avec vos images, en utilisant votre bande passante au lieu d&rsquo;h\u00e9berger le fichier sur son propre serveur. Bien que cela puisse sembler inoffensif, cela peut entra\u00eener une augmentation des co\u00fbts de serveur et un ralentissement des performances du site, en particulier si un site \u00e0 fort trafic cr\u00e9e des liens vers de nombreuses images.<\/p>\n<p>Un exemple bien connu est celui du Huffington Post qui a cr\u00e9\u00e9 un lien hypertexte vers une bande dessin\u00e9e de <a href=\"http:\/\/theoatmeal.com\/\" target=\"_blank\" rel=\"noopener noreferrer\">The Oatmeal<\/a>, ce qui a entra\u00een\u00e9 une utilisation excessive de la bande passante et des frais d&rsquo;h\u00e9bergement suppl\u00e9mentaires de plus de 1000 dollars.<\/p>\n<figure style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/hotlinking-bill.png\" alt=\"Facture du hotlinking.\" width=\"1001\" height=\"471\"><figcaption class=\"wp-caption-text\">Facture du hotlinking.<\/figcaption><\/figure>\n<p>Pour emp\u00eacher le hotlinking, vous pouvez configurer les r\u00e9glages de votre serveur ou votre CDN de mani\u00e8re \u00e0 bloquer les requ\u00eates d&rsquo;images non autoris\u00e9es :<\/p>\n<ul>\n<li><strong>Apache :<\/strong> <a href=\"https:\/\/www.simplified.guide\/apache\/hotlinking-prevent\" target=\"_blank\" rel=\"noopener noreferrer\">Ajoutez une r\u00e8gle<\/a> dans votre fichier <code>.htaccess<\/code> pour limiter les requ\u00eates d&rsquo;images \u00e0 votre propre domaine.<\/li>\n<li><strong>NGINX :<\/strong> <a href=\"https:\/\/www.cybrosys.com\/blog\/how-to-prevent-image-hotlinking-in-nginx\" target=\"_blank\" rel=\"noopener noreferrer\">Modifiez votre fichier de configuration<\/a> pour bloquer les requ\u00eates provenant de sources externes.<\/li>\n<li><strong>Protection CDN :<\/strong> La plupart des CDN, y compris <a href=\"https:\/\/developers.cloudflare.com\/waf\/tools\/scrape-shield\/hotlink-protection\/\" target=\"_blank\" rel=\"noopener noreferrer\">Cloudflare<\/a> et <a href=\"https:\/\/www.keycdn.com\/support\/create-a-zonereferrer\/\" target=\"_blank\" rel=\"noopener noreferrer\">KeyCDN<\/a>, offrent une protection int\u00e9gr\u00e9e contre les liens chauds qui peut \u00eatre activ\u00e9e dans leurs r\u00e9glages.<\/li>\n<\/ul>\n<h2>17. Utiliser les plugins WordPress de s\u00e9curit\u00e9<\/h2>\n<p>Il existe de nombreuses <a href=\"https:\/\/kinsta.com\/fr\/blog\/plugins-securite-wordpress\/\">extensions WordPress de s\u00e9curit\u00e9<\/a> con\u00e7ues pour prot\u00e9ger votre site contre les menaces. Bien qu&rsquo;un environnement d&rsquo;h\u00e9bergement s\u00e9curis\u00e9 soit la premi\u00e8re ligne de d\u00e9fense, l&rsquo;ajout d&rsquo;une couche suppl\u00e9mentaire de s\u00e9curit\u00e9 avec une extension peut aider \u00e0 surveiller, d\u00e9tecter et pr\u00e9venir les vuln\u00e9rabilit\u00e9s potentielles.<\/p>\n<p>Voici quelques-unes des extensions de s\u00e9curit\u00e9 les plus populaires :<\/p>\n<ul>\n<li><a href=\"https:\/\/kinsta.com\/fr\/blog\/sucuri-firewall\/\">Sucuri Security<\/a><\/li>\n<li><a href=\"https:\/\/kinsta.com\/fr\/blog\/sucuri-vs-wordfence\/\">WordFence Security<\/a><\/li>\n<li><a href=\"https:\/\/wordpress.org\/plugins\/malcare-security\/\" target=\"_blank\" rel=\"noopener noreferrer\">S\u00e9curit\u00e9 MalCare<\/a><\/li>\n<li><a href=\"https:\/\/wordpress.org\/plugins\/secupress\/\" target=\"_blank\" rel=\"noopener noreferrer\">SecuPress<\/a><\/li>\n<li><a href=\"https:\/\/wordpress.org\/plugins\/better-wp-security\/\" target=\"_blank\" rel=\"noopener noreferrer\">Solid Security<\/a> (<a href=\"https:\/\/solidwp.com\/looking-for-ithemes\">anciennement iThemes Security<\/a>)<\/li>\n<\/ul>\n<p>Chacune de ces extensions offre des fonctions de s\u00e9curit\u00e9 diff\u00e9rentes, telles que :<\/p>\n<ul>\n<li>L&rsquo;application de mots de passe forts et de politiques d&rsquo;expiration des mots de passe<\/li>\n<li>Enregistrement des actions de l&rsquo;utilisateur pour suivre les changements et les comportements suspects<\/li>\n<li>Recherche de logiciels malveillants et de modifications de fichiers<\/li>\n<li>Mise en \u0153uvre de l&rsquo;authentification \u00e0 deux facteurs (2FA)<\/li>\n<li>Ajout d&rsquo;une protection reCAPTCHA pour les formulaires de connexion<\/li>\n<li>Mise en place de pare-feu, de listes d&rsquo;adresses IP autoris\u00e9es et de listes de blocage<\/li>\n<li>Surveillance des changements de DNS et blocage des r\u00e9seaux malveillants<\/li>\n<\/ul>\n<p>Une fonction particuli\u00e8rement utile que l&rsquo;on trouve dans de nombreuses extensions de s\u00e9curit\u00e9 est un <a href=\"https:\/\/developer.wordpress.org\/cli\/commands\/core\/verify-checksums\/\" target=\"_blank\" rel=\"noopener noreferrer\">utilitaire de somme de contr\u00f4le<\/a>, qui analyse les <a href=\"https:\/\/kinsta.com\/fr\/blog\/fichiers-wordpress\/\">fichiers principaux de WordPress<\/a> et les compare aux versions officielles de WordPress.org. Si des modifications non autoris\u00e9es sont d\u00e9tect\u00e9es, cela peut indiquer un piratage ou une <a href=\"https:\/\/kinsta.com\/fr\/blog\/injections-sql\/\">injection de code<\/a> malveillant.<\/p>\n<p>N&rsquo;oubliez pas de lire notre <a href=\"https:\/\/kinsta.com\/fr\/blog\/controle-integrite-fichiers\/\">guide complet <\/a><a href=\"https:\/\/kinsta.com\/fr\/blog\/controle-integrite-fichiers\/\">sur la surveillance de l&rsquo;int\u00e9grit\u00e9 des fichiers<\/a>.<\/p>\n<p>Pour les installations WordPress <a href=\"https:\/\/kinsta.com\/fr\/hebergement-wordpress\/multisite\/\">multisites<\/a> ou multi-auteurs, <a href=\"https:\/\/wordpress.org\/plugins\/wp-security-audit-log\/\" target=\"_blank\" rel=\"noopener noreferrer\">WP Security Audit Log<\/a> est une autre excellente extension qui fournit un journal d&rsquo;activit\u00e9 d\u00e9taill\u00e9, en suivant les changements de logins, de mots de passe, de th\u00e8mes, de widgets, d&rsquo;articles et de mises \u00e0 jour de WordPress. Elle permet aux administrateurs de surveiller l&rsquo;activit\u00e9 des utilisateurs en temps r\u00e9el, am\u00e9liorant ainsi la s\u00e9curit\u00e9 et la responsabilit\u00e9.<\/p>\n<p>Chez Kinsta, chaque site est prot\u00e9g\u00e9 par les <a href=\"https:\/\/kinsta.com\/fr\/docs\/hebergement-wordpress\/premiers-pas-wordpress\/infrastructure-wordpress\/#kinsta-firewall\">pare-feu Cloudflare, Google Cloud et Kinsta<\/a>, avec un contr\u00f4le de s\u00e9curit\u00e9 en temps r\u00e9el et la <a href=\"https:\/\/kinsta.com\/fr\/docs\/information-service\/suppression-logiciel-malveillant\/\">suppression des logiciels malveillants sans frais<\/a>. Nous v\u00e9rifions le <a href=\"https:\/\/kinsta.com\/fr\/docs\/hebergement-wordpress\/surveillance-wordpress\/surveillance-temps-fonctionnement\/\">temps de disponibilit\u00e9 du site <\/a><a href=\"https:\/\/kinsta.com\/fr\/docs\/hebergement-wordpress\/surveillance-wordpress\/surveillance-temps-fonctionnement\/\">toutes les trois minutes<\/a> et r\u00e9pondons imm\u00e9diatement \u00e0 tout probl\u00e8me, garantissant ainsi un environnement d&rsquo;h\u00e9bergement s\u00e9curis\u00e9 et r\u00e9silient.<\/p>\n<h2>18. Toujours faire des sauvegardes<\/h2>\n<p>Quelles que soient les mesures de s\u00e9curit\u00e9 que vous mettez en place, <strong>aucun site n&rsquo;est s\u00fbr \u00e0 100 %<\/strong>. Les sauvegardes constituent votre derni\u00e8re ligne de d\u00e9fense en cas de piratage, de suppression accidentelle ou de d\u00e9faillance majeure du site. Pourtant, de nombreux propri\u00e9taires de sites n\u00e9gligent les sauvegardes r\u00e9guli\u00e8res et ne r\u00e9alisent leur importance qu&rsquo;en cas de catastrophe.<\/p>\n<p>La plupart des fournisseurs d&rsquo;<a href=\"https:\/\/kinsta.com\/fr\/hebergement-wordpress\/\">h\u00e9bergement infog\u00e9r\u00e9 pour WordPress<\/a> proposent des sauvegardes int\u00e9gr\u00e9es. Chez Kinsta, les sauvegardes sont g\u00e9r\u00e9es au niveau du serveur, avec <a href=\"https:\/\/kinsta.com\/fr\/docs\/hebergement-wordpress\/sauvegardes-wordpress\/\">six types diff\u00e9rents<\/a>, y compris des sauvegardes quotidiennes automatis\u00e9es et des options de restauration en un clic dans MyKinsta, garantissant que votre site peut \u00eatre rapidement r\u00e9cup\u00e9r\u00e9 en cas de probl\u00e8me.<\/p>\n<figure style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/kinsta-backups-1.png\" alt=\"Sauvegardes dans MyKinsta.\" width=\"1001\" height=\"471\"><figcaption class=\"wp-caption-text\">Sauvegardes dans MyKinsta.<\/figcaption><\/figure>\n<p>Si votre h\u00e9bergeur ne propose pas de sauvegardes, il existe plusieurs services de sauvegarde et extensions disponibles :<\/p>\n<ul>\n<li>Les services de sauvegarde comme <a href=\"https:\/\/vaultpress.com\/\" target=\"_blank\" rel=\"noopener noreferrer\">VaultPress<\/a>, <a href=\"https:\/\/www.codeguard.com\/\" target=\"_blank\" rel=\"noopener noreferrer\">CodeGuard<\/a> et <a href=\"https:\/\/blogvault.net\/\" target=\"_blank\" rel=\"noopener noreferrer\">BlogVault<\/a> stockent les sauvegardes en toute s\u00e9curit\u00e9 dans le cloud.<\/li>\n<li>Les extensions de sauvegarde comme <a href=\"https:\/\/wordpress.org\/plugins\/updraftplus\/\" target=\"_blank\" rel=\"noopener noreferrer\">UpdraftPlus<\/a>, <a href=\"https:\/\/ithemes.com\/purchase\/backupbuddy\/\" target=\"_blank\" rel=\"noopener noreferrer\">BackupBuddy<\/a>, et <a href=\"https:\/\/wptimecapsule.com\/\" target=\"_blank\" rel=\"noopener noreferrer\">WP Time Capsule<\/a> vous permettent d&rsquo;enregistrer des sauvegardes sur un espace de stockage externe comme Google Drive, Amazon S3, ou Dropbox.<\/li>\n<\/ul>\n<aside role=\"note\" class=\"wp-block-kinsta-notice is-style-important\">\n            <h3>Important<\/h3>\n        <p>Pour les utilisateurs de Kinsta, les extensions de sauvegarde tierces ne sont pas n\u00e9cessaires, car les <a href=\"https:\/\/kinsta.com\/fr\/docs\/hebergement-wordpress\/plugins-themes-wordpress\/plugins-wordpress-interdits-incompatibles\/#backup-plugins\">sauvegardes non incr\u00e9mentales ne sont pas autoris\u00e9es<\/a> en raison de probl\u00e8mes de performance. Au lieu de cela, les sauvegardes sont g\u00e9r\u00e9es au niveau du serveur, garantissant un impact nul sur les performances du site tout en gardant vos donn\u00e9es en s\u00e9curit\u00e9.<\/p>\n<\/aside>\n\n<h2>19. Protection DDoS<\/h2>\n<p>Les attaques <a href=\"https:\/\/kinsta.com\/fr\/blog\/attaques-ddos\/\">DDoS<\/a> (Distributed Denial of Service) inondent un site web avec des quantit\u00e9s massives de trafic, surchargeant ses ressources et provoquant des temps d&rsquo;arr\u00eat. Contrairement aux piratages traditionnels, les attaques DDoS ne compromettent pas les donn\u00e9es et n&rsquo;injectent pas de logiciels malveillants, mais elles peuvent mettre un site hors ligne pendant des heures, voire des jours, ce qui entra\u00eene une perte de revenus et la frustration des visiteurs.<\/p>\n<p>L&rsquo;un des moyens les plus efficaces de se prot\u00e9ger contre les attaques DDoS consiste \u00e0 utiliser un service de s\u00e9curit\u00e9 tiers tel que <a href=\"https:\/\/kinsta.com\/fr\/blog\/installer-cloudflare\/\">Cloudflare<\/a> ou <a href=\"https:\/\/kinsta.com\/fr\/blog\/sucuri-firewall\/\">Sucuri<\/a>. Ces services agissent comme un bouclier protecteur, filtrant le trafic malveillant avant qu&rsquo;il n&rsquo;atteigne votre serveur. Ils masquent \u00e9galement votre adresse IP d&rsquo;origine, ce qui emp\u00eache les attaquants de cibler directement votre site.<\/p>\n<p>Pour les utilisateurs de Kinsta, la protection DDoS est int\u00e9gr\u00e9e gr\u00e2ce \u00e0 notre <a href=\"https:\/\/kinsta.com\/fr\/integration-cloudflare\/\">int\u00e9gration gratuite de Cloudflare<\/a>, qui d\u00e9tecte et att\u00e9nue automatiquement tous les types d&rsquo;attaques DDoS, y compris les attaques UDP, ICMP, les inondations SYN\/ACK, l&rsquo;amplification DNS et les attaques de la couche 7.<\/p>\n<p>Un <a href=\"https:\/\/kinsta.com\/fr\/blog\/prevenir-attaques-ddos\/#how-we-mitigated-a-massive-ddos-attack-for-a-financial-client\">exemple concret de protection DDoS<\/a> en action : Une soci\u00e9t\u00e9 financi\u00e8re a migr\u00e9 vers Kinsta alors qu&rsquo;elle faisait face \u00e0 une attaque DDoS massive. Imm\u00e9diatement apr\u00e8s la mise en service, leur site a \u00e9t\u00e9 bombard\u00e9 de millions de requ\u00eates, provoquant des perturbations.<\/p>\n<figure style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/bandwidth-ddos.png\" alt=\"Analyse du tableau de bord de MyKinsta montrant la bande passante et d'autres informations.\" width=\"1001\" height=\"471\"><figcaption class=\"wp-caption-text\">Analyse du tableau de bord de MyKinsta montrant la bande passante et d&rsquo;autres informations.<\/figcaption><\/figure>\n<p>Notre \u00e9quipe SysOps a rapidement travaill\u00e9 avec Cloudflare pour bloquer le trafic suspect. En 27 minutes, plus de 516 millions de requ\u00eates malveillantes ont \u00e9t\u00e9 att\u00e9nu\u00e9es, ce qui a permis au site de rester en ligne.<\/p>\n<figure style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/ddos-mitigation.png\" alt=\"L'infrastructure de Kinsta a att\u00e9nu\u00e9 516,9 millions de requ\u00eates.\" width=\"1001\" height=\"471\"><figcaption class=\"wp-caption-text\">L&rsquo;infrastructure de Kinsta a att\u00e9nu\u00e9 516,9 millions de requ\u00eates.<\/figcaption><\/figure>\n<p>Si votre activit\u00e9 repose sur votre site web, il est essentiel d&rsquo;investir dans un syst\u00e8me de protection contre les attaques DDoS afin d&rsquo;\u00e9viter les temps d&rsquo;arr\u00eat et d&rsquo;assurer le bon fonctionnement de votre site.<\/p>\n<h2>R\u00e9sum\u00e9<\/h2>\n<p>Comme vous pouvez le constater, il existe de nombreuses fa\u00e7ons de renforcer la s\u00e9curit\u00e9 de WordPress. L&rsquo;utilisation de mots de passe forts, la mise \u00e0 jour du noyau et des extensions, et le choix d&rsquo;un h\u00e9bergeur WordPress s\u00e9curis\u00e9 jouent tous un r\u00f4le cl\u00e9 dans la s\u00e9curit\u00e9 de votre site.<\/p>\n<p>Comme nous l&rsquo;avons dit, votre h\u00e9bergeur joue un r\u00f4le crucial, et chez Kinsta, la <a href=\"https:\/\/kinsta.com\/fr\/hebergement-wordpress-securise\/\">s\u00e9curit\u00e9 est int\u00e9gr\u00e9e \u00e0 notre infrastructure<\/a>. Gr\u00e2ce \u00e0 l&rsquo;int\u00e9gration de Cloudflare, chaque site b\u00e9n\u00e9ficie d&rsquo;une att\u00e9nuation automatique des DDoS, d&rsquo;un pare-feu d&rsquo;entreprise et d&rsquo;une analyse des logiciels malveillants en temps r\u00e9el avec suppression gratuite des logiciels malveillants. Notre double syst\u00e8me de pare-feu bloque les menaces avant qu&rsquo;elles n&rsquo;atteignent votre site, tandis que les sauvegardes automatis\u00e9es quotidiennes et la surveillance proactive du temps de fonctionnement garantissent que votre site reste en ligne et s\u00e9curis\u00e9.<\/p>\n<p>Pour beaucoup d&rsquo;entre vous, votre site WordPress est votre source de revenus, c&rsquo;est pourquoi il est essentiel d&rsquo;adopter d\u00e8s maintenant les meilleures pratiques en mati\u00e8re de s\u00e9curit\u00e9. Prot\u00e9gez votre site avec un h\u00e9bergement qui fait le gros du travail pour vous. Passez \u00e0 Kinsta aujourd&rsquo;hui et obtenez votre <a href=\"https:\/\/kinsta.com\/fr\/blog\/premier-mois-gratuit-avec-kinsta\/\">premier mois gratuit<\/a>.<\/p>\n<p>Nous avons oubli\u00e9 des conseils importants sur la s\u00e9curit\u00e9 de WordPress ? Faites-le nous savoir dans les commentaires !<\/p>\n","protected":false},"excerpt":{"rendered":"<p>WordPress alimente plus de 43,6 % du web, ce qui en fait une cible de choix pour les cyberattaques. Avec des milliers d&rsquo;extensions et de th\u00e8mes, &#8230;<\/p>\n","protected":false},"author":287,"featured_media":79677,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_kinsta_gated_content":false,"_kinsta_gated_content_redirect":"","footnotes":""},"tags":[32,33],"topic":[1036],"class_list":["post-19670","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","tag-securite-web","tag-wordpress","topic-securite-wordpress"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v24.6 (Yoast SEO v24.6) - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>19 \u00e9tapes pour prot\u00e9ger votre site WordPress contre les menaces<\/title>\n<meta name=\"description\" content=\"Il existe de nombreuses astuces et conseils que vous pouvez mettre en \u0153uvre pour renforcer la s\u00e9curit\u00e9 de votre WordPress. Ce guide explique 19 \u00e9tapes pour s\u00e9curiser votre site.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/kinsta.com\/fr\/blog\/securite-wordpress\/\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"19 \u00e9tapes pour prot\u00e9ger votre site WordPress contre les menaces\" \/>\n<meta property=\"og:description\" content=\"Il existe de nombreuses astuces et conseils que vous pouvez mettre en \u0153uvre pour renforcer la s\u00e9curit\u00e9 de votre WordPress. Ce guide explique 19 \u00e9tapes pour s\u00e9curiser votre site.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/kinsta.com\/fr\/blog\/securite-wordpress\/\" \/>\n<meta property=\"og:site_name\" content=\"Kinsta\u00ae\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/kinstafrance\/\" \/>\n<meta property=\"article:published_time\" content=\"2018-06-20T09:58:19+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-04-07T11:15:33+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/kinsta.com\/fr\/wp-content\/uploads\/sites\/4\/2018\/06\/19-steps-to-protect-your-wordpress-site-from-threats.png\" \/>\n\t<meta property=\"og:image:width\" content=\"1470\" \/>\n\t<meta property=\"og:image:height\" content=\"735\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"author\" content=\"Joel Olawanle\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:description\" content=\"Il existe de nombreuses astuces et conseils que vous pouvez mettre en \u0153uvre pour renforcer la s\u00e9curit\u00e9 de votre WordPress. Ce guide explique 19 \u00e9tapes pour s\u00e9curiser votre site.\" \/>\n<meta name=\"twitter:image\" content=\"https:\/\/kinsta.com\/fr\/wp-content\/uploads\/sites\/4\/2018\/06\/19-steps-to-protect-your-wordpress-site-from-threats-1024x512.png\" \/>\n<meta name=\"twitter:creator\" content=\"@olawanle_joel\" \/>\n<meta name=\"twitter:site\" content=\"@kinsta_fr\" \/>\n<meta name=\"twitter:label1\" content=\"\u00c9crit par\" \/>\n\t<meta name=\"twitter:data1\" content=\"Joel Olawanle\" \/>\n\t<meta name=\"twitter:label2\" content=\"Dur\u00e9e de lecture estim\u00e9e\" \/>\n\t<meta name=\"twitter:data2\" content=\"54 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/kinsta.com\/fr\/blog\/securite-wordpress\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/kinsta.com\/fr\/blog\/securite-wordpress\/\"},\"author\":{\"name\":\"Joel Olawanle\",\"@id\":\"https:\/\/kinsta.com\/fr\/#\/schema\/person\/efa7de30245ca15be5ce1dcacff89c07\"},\"headline\":\"19 \u00e9tapes pour prot\u00e9ger votre site WordPress contre les menaces\",\"datePublished\":\"2018-06-20T09:58:19+00:00\",\"dateModified\":\"2025-04-07T11:15:33+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/kinsta.com\/fr\/blog\/securite-wordpress\/\"},\"wordCount\":9159,\"commentCount\":1,\"publisher\":{\"@id\":\"https:\/\/kinsta.com\/fr\/#organization\"},\"image\":{\"@id\":\"https:\/\/kinsta.com\/fr\/blog\/securite-wordpress\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/kinsta.com\/fr\/wp-content\/uploads\/sites\/4\/2018\/06\/19-steps-to-protect-your-wordpress-site-from-threats.png\",\"keywords\":[\"securit\u00e9 web\",\"WordPress\"],\"articleSection\":[\"S\u00e9curit\u00e9 WordPress\"],\"inLanguage\":\"fr-FR\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\/\/kinsta.com\/fr\/blog\/securite-wordpress\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/kinsta.com\/fr\/blog\/securite-wordpress\/\",\"url\":\"https:\/\/kinsta.com\/fr\/blog\/securite-wordpress\/\",\"name\":\"19 \u00e9tapes pour prot\u00e9ger votre site WordPress contre les menaces\",\"isPartOf\":{\"@id\":\"https:\/\/kinsta.com\/fr\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/kinsta.com\/fr\/blog\/securite-wordpress\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/kinsta.com\/fr\/blog\/securite-wordpress\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/kinsta.com\/fr\/wp-content\/uploads\/sites\/4\/2018\/06\/19-steps-to-protect-your-wordpress-site-from-threats.png\",\"datePublished\":\"2018-06-20T09:58:19+00:00\",\"dateModified\":\"2025-04-07T11:15:33+00:00\",\"description\":\"Il existe de nombreuses astuces et conseils que vous pouvez mettre en \u0153uvre pour renforcer la s\u00e9curit\u00e9 de votre WordPress. Ce guide explique 19 \u00e9tapes pour s\u00e9curiser votre site.\",\"breadcrumb\":{\"@id\":\"https:\/\/kinsta.com\/fr\/blog\/securite-wordpress\/#breadcrumb\"},\"inLanguage\":\"fr-FR\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/kinsta.com\/fr\/blog\/securite-wordpress\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"fr-FR\",\"@id\":\"https:\/\/kinsta.com\/fr\/blog\/securite-wordpress\/#primaryimage\",\"url\":\"https:\/\/kinsta.com\/fr\/wp-content\/uploads\/sites\/4\/2018\/06\/19-steps-to-protect-your-wordpress-site-from-threats.png\",\"contentUrl\":\"https:\/\/kinsta.com\/fr\/wp-content\/uploads\/sites\/4\/2018\/06\/19-steps-to-protect-your-wordpress-site-from-threats.png\",\"width\":1470,\"height\":735},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/kinsta.com\/fr\/blog\/securite-wordpress\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\/\/kinsta.com\/fr\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"S\u00e9curit\u00e9 WordPress\",\"item\":\"https:\/\/kinsta.com\/fr\/sujets\/securite-wordpress\/\"},{\"@type\":\"ListItem\",\"position\":3,\"name\":\"19 \u00e9tapes pour prot\u00e9ger votre site WordPress contre les menaces\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/kinsta.com\/fr\/#website\",\"url\":\"https:\/\/kinsta.com\/fr\/\",\"name\":\"Kinsta\u00ae\",\"description\":\"Solutions d&#039;h\u00e9bergement premium, rapides et s\u00e9curis\u00e9es\",\"publisher\":{\"@id\":\"https:\/\/kinsta.com\/fr\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/kinsta.com\/fr\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"fr-FR\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/kinsta.com\/fr\/#organization\",\"name\":\"Kinsta\",\"url\":\"https:\/\/kinsta.com\/fr\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"fr-FR\",\"@id\":\"https:\/\/kinsta.com\/fr\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/kinsta.com\/fr\/wp-content\/uploads\/sites\/4\/2023\/12\/kinsta-logo.jpeg\",\"contentUrl\":\"https:\/\/kinsta.com\/fr\/wp-content\/uploads\/sites\/4\/2023\/12\/kinsta-logo.jpeg\",\"width\":500,\"height\":500,\"caption\":\"Kinsta\"},\"image\":{\"@id\":\"https:\/\/kinsta.com\/fr\/#\/schema\/logo\/image\/\"},\"sameAs\":[\"https:\/\/www.facebook.com\/kinstafrance\/\",\"https:\/\/x.com\/kinsta_fr\",\"https:\/\/www.instagram.com\/kinstahosting\/\",\"https:\/\/www.linkedin.com\/company\/kinsta\/\",\"https:\/\/www.pinterest.com\/kinstahosting\/\",\"https:\/\/www.youtube.com\/c\/Kinsta\"]},{\"@type\":\"Person\",\"@id\":\"https:\/\/kinsta.com\/fr\/#\/schema\/person\/efa7de30245ca15be5ce1dcacff89c07\",\"name\":\"Joel Olawanle\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"fr-FR\",\"@id\":\"https:\/\/kinsta.com\/fr\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/051bf577ce2c837846a1db9eef184758?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/051bf577ce2c837846a1db9eef184758?s=96&d=mm&r=g\",\"caption\":\"Joel Olawanle\"},\"description\":\"Joel is a Frontend developer working at Kinsta as a Technical Editor. He is a passionate teacher with love for open source and has written over 300 technical articles majorly around JavaScript and it's frameworks.\",\"sameAs\":[\"https:\/\/joelolawanle.com\/\",\"https:\/\/www.linkedin.com\/in\/olawanlejoel\/\",\"https:\/\/x.com\/olawanle_joel\",\"https:\/\/www.youtube.com\/@joelolawanle\"],\"gender\":\"male\",\"knowsAbout\":[\"JavaScript\",\"React\",\"Next.js\"],\"knowsLanguage\":[\"English\"],\"jobTitle\":\"Technical Editor\",\"worksFor\":\"Kinsta\",\"url\":\"https:\/\/kinsta.com\/fr\/blog\/author\/joelolawanle\/\"}]}<\/script>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"19 \u00e9tapes pour prot\u00e9ger votre site WordPress contre les menaces","description":"Il existe de nombreuses astuces et conseils que vous pouvez mettre en \u0153uvre pour renforcer la s\u00e9curit\u00e9 de votre WordPress. Ce guide explique 19 \u00e9tapes pour s\u00e9curiser votre site.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/kinsta.com\/fr\/blog\/securite-wordpress\/","og_locale":"fr_FR","og_type":"article","og_title":"19 \u00e9tapes pour prot\u00e9ger votre site WordPress contre les menaces","og_description":"Il existe de nombreuses astuces et conseils que vous pouvez mettre en \u0153uvre pour renforcer la s\u00e9curit\u00e9 de votre WordPress. Ce guide explique 19 \u00e9tapes pour s\u00e9curiser votre site.","og_url":"https:\/\/kinsta.com\/fr\/blog\/securite-wordpress\/","og_site_name":"Kinsta\u00ae","article_publisher":"https:\/\/www.facebook.com\/kinstafrance\/","article_published_time":"2018-06-20T09:58:19+00:00","article_modified_time":"2025-04-07T11:15:33+00:00","og_image":[{"width":1470,"height":735,"url":"https:\/\/kinsta.com\/fr\/wp-content\/uploads\/sites\/4\/2018\/06\/19-steps-to-protect-your-wordpress-site-from-threats.png","type":"image\/png"}],"author":"Joel Olawanle","twitter_card":"summary_large_image","twitter_description":"Il existe de nombreuses astuces et conseils que vous pouvez mettre en \u0153uvre pour renforcer la s\u00e9curit\u00e9 de votre WordPress. Ce guide explique 19 \u00e9tapes pour s\u00e9curiser votre site.","twitter_image":"https:\/\/kinsta.com\/fr\/wp-content\/uploads\/sites\/4\/2018\/06\/19-steps-to-protect-your-wordpress-site-from-threats-1024x512.png","twitter_creator":"@olawanle_joel","twitter_site":"@kinsta_fr","twitter_misc":{"\u00c9crit par":"Joel Olawanle","Dur\u00e9e de lecture estim\u00e9e":"54 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/kinsta.com\/fr\/blog\/securite-wordpress\/#article","isPartOf":{"@id":"https:\/\/kinsta.com\/fr\/blog\/securite-wordpress\/"},"author":{"name":"Joel Olawanle","@id":"https:\/\/kinsta.com\/fr\/#\/schema\/person\/efa7de30245ca15be5ce1dcacff89c07"},"headline":"19 \u00e9tapes pour prot\u00e9ger votre site WordPress contre les menaces","datePublished":"2018-06-20T09:58:19+00:00","dateModified":"2025-04-07T11:15:33+00:00","mainEntityOfPage":{"@id":"https:\/\/kinsta.com\/fr\/blog\/securite-wordpress\/"},"wordCount":9159,"commentCount":1,"publisher":{"@id":"https:\/\/kinsta.com\/fr\/#organization"},"image":{"@id":"https:\/\/kinsta.com\/fr\/blog\/securite-wordpress\/#primaryimage"},"thumbnailUrl":"https:\/\/kinsta.com\/fr\/wp-content\/uploads\/sites\/4\/2018\/06\/19-steps-to-protect-your-wordpress-site-from-threats.png","keywords":["securit\u00e9 web","WordPress"],"articleSection":["S\u00e9curit\u00e9 WordPress"],"inLanguage":"fr-FR","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/kinsta.com\/fr\/blog\/securite-wordpress\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/kinsta.com\/fr\/blog\/securite-wordpress\/","url":"https:\/\/kinsta.com\/fr\/blog\/securite-wordpress\/","name":"19 \u00e9tapes pour prot\u00e9ger votre site WordPress contre les menaces","isPartOf":{"@id":"https:\/\/kinsta.com\/fr\/#website"},"primaryImageOfPage":{"@id":"https:\/\/kinsta.com\/fr\/blog\/securite-wordpress\/#primaryimage"},"image":{"@id":"https:\/\/kinsta.com\/fr\/blog\/securite-wordpress\/#primaryimage"},"thumbnailUrl":"https:\/\/kinsta.com\/fr\/wp-content\/uploads\/sites\/4\/2018\/06\/19-steps-to-protect-your-wordpress-site-from-threats.png","datePublished":"2018-06-20T09:58:19+00:00","dateModified":"2025-04-07T11:15:33+00:00","description":"Il existe de nombreuses astuces et conseils que vous pouvez mettre en \u0153uvre pour renforcer la s\u00e9curit\u00e9 de votre WordPress. Ce guide explique 19 \u00e9tapes pour s\u00e9curiser votre site.","breadcrumb":{"@id":"https:\/\/kinsta.com\/fr\/blog\/securite-wordpress\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/kinsta.com\/fr\/blog\/securite-wordpress\/"]}]},{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/kinsta.com\/fr\/blog\/securite-wordpress\/#primaryimage","url":"https:\/\/kinsta.com\/fr\/wp-content\/uploads\/sites\/4\/2018\/06\/19-steps-to-protect-your-wordpress-site-from-threats.png","contentUrl":"https:\/\/kinsta.com\/fr\/wp-content\/uploads\/sites\/4\/2018\/06\/19-steps-to-protect-your-wordpress-site-from-threats.png","width":1470,"height":735},{"@type":"BreadcrumbList","@id":"https:\/\/kinsta.com\/fr\/blog\/securite-wordpress\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/kinsta.com\/fr\/"},{"@type":"ListItem","position":2,"name":"S\u00e9curit\u00e9 WordPress","item":"https:\/\/kinsta.com\/fr\/sujets\/securite-wordpress\/"},{"@type":"ListItem","position":3,"name":"19 \u00e9tapes pour prot\u00e9ger votre site WordPress contre les menaces"}]},{"@type":"WebSite","@id":"https:\/\/kinsta.com\/fr\/#website","url":"https:\/\/kinsta.com\/fr\/","name":"Kinsta\u00ae","description":"Solutions d&#039;h\u00e9bergement premium, rapides et s\u00e9curis\u00e9es","publisher":{"@id":"https:\/\/kinsta.com\/fr\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/kinsta.com\/fr\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"fr-FR"},{"@type":"Organization","@id":"https:\/\/kinsta.com\/fr\/#organization","name":"Kinsta","url":"https:\/\/kinsta.com\/fr\/","logo":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/kinsta.com\/fr\/#\/schema\/logo\/image\/","url":"https:\/\/kinsta.com\/fr\/wp-content\/uploads\/sites\/4\/2023\/12\/kinsta-logo.jpeg","contentUrl":"https:\/\/kinsta.com\/fr\/wp-content\/uploads\/sites\/4\/2023\/12\/kinsta-logo.jpeg","width":500,"height":500,"caption":"Kinsta"},"image":{"@id":"https:\/\/kinsta.com\/fr\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/kinstafrance\/","https:\/\/x.com\/kinsta_fr","https:\/\/www.instagram.com\/kinstahosting\/","https:\/\/www.linkedin.com\/company\/kinsta\/","https:\/\/www.pinterest.com\/kinstahosting\/","https:\/\/www.youtube.com\/c\/Kinsta"]},{"@type":"Person","@id":"https:\/\/kinsta.com\/fr\/#\/schema\/person\/efa7de30245ca15be5ce1dcacff89c07","name":"Joel Olawanle","image":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/kinsta.com\/fr\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/051bf577ce2c837846a1db9eef184758?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/051bf577ce2c837846a1db9eef184758?s=96&d=mm&r=g","caption":"Joel Olawanle"},"description":"Joel is a Frontend developer working at Kinsta as a Technical Editor. He is a passionate teacher with love for open source and has written over 300 technical articles majorly around JavaScript and it's frameworks.","sameAs":["https:\/\/joelolawanle.com\/","https:\/\/www.linkedin.com\/in\/olawanlejoel\/","https:\/\/x.com\/olawanle_joel","https:\/\/www.youtube.com\/@joelolawanle"],"gender":"male","knowsAbout":["JavaScript","React","Next.js"],"knowsLanguage":["English"],"jobTitle":"Technical Editor","worksFor":"Kinsta","url":"https:\/\/kinsta.com\/fr\/blog\/author\/joelolawanle\/"}]}},"acf":[],"_links":{"self":[{"href":"https:\/\/kinsta.com\/fr\/wp-json\/wp\/v2\/posts\/19670","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/kinsta.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/kinsta.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/kinsta.com\/fr\/wp-json\/wp\/v2\/users\/287"}],"replies":[{"embeddable":true,"href":"https:\/\/kinsta.com\/fr\/wp-json\/wp\/v2\/comments?post=19670"}],"version-history":[{"count":21,"href":"https:\/\/kinsta.com\/fr\/wp-json\/wp\/v2\/posts\/19670\/revisions"}],"predecessor-version":[{"id":79700,"href":"https:\/\/kinsta.com\/fr\/wp-json\/wp\/v2\/posts\/19670\/revisions\/79700"}],"alternate":[{"embeddable":true,"hreflang":"it","title":"Italian","href":"https:\/\/kinsta.com\/fr\/wp-json\/kinsta\/v1\/posts\/19670\/translations\/it"},{"embeddable":true,"hreflang":"es","title":"Spanish","href":"https:\/\/kinsta.com\/fr\/wp-json\/kinsta\/v1\/posts\/19670\/translations\/es"},{"embeddable":true,"hreflang":"pt","title":"Portuguese","href":"https:\/\/kinsta.com\/fr\/wp-json\/kinsta\/v1\/posts\/19670\/translations\/pt"},{"embeddable":true,"hreflang":"fr","title":"French","href":"https:\/\/kinsta.com\/fr\/wp-json\/kinsta\/v1\/posts\/19670\/translations\/fr"},{"embeddable":true,"hreflang":"en","title":"English","href":"https:\/\/kinsta.com\/fr\/wp-json\/kinsta\/v1\/posts\/19670\/translations\/en"},{"embeddable":true,"hreflang":"de","title":"German","href":"https:\/\/kinsta.com\/fr\/wp-json\/kinsta\/v1\/posts\/19670\/translations\/de"},{"embeddable":true,"hreflang":"ja","title":"Japanese","href":"https:\/\/kinsta.com\/fr\/wp-json\/kinsta\/v1\/posts\/19670\/translations\/jp"},{"embeddable":true,"hreflang":"sv","title":"Swedish","href":"https:\/\/kinsta.com\/fr\/wp-json\/kinsta\/v1\/posts\/19670\/translations\/se"},{"embeddable":true,"hreflang":"nl","title":"Dutch","href":"https:\/\/kinsta.com\/fr\/wp-json\/kinsta\/v1\/posts\/19670\/translations\/nl"},{"embeddable":true,"hreflang":"da","title":"Danish","href":"https:\/\/kinsta.com\/fr\/wp-json\/kinsta\/v1\/posts\/19670\/translations\/dk"},{"href":"https:\/\/kinsta.com\/fr\/wp-json\/kinsta\/v1\/posts\/19670\/tree"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/kinsta.com\/fr\/wp-json\/wp\/v2\/media\/79677"}],"wp:attachment":[{"href":"https:\/\/kinsta.com\/fr\/wp-json\/wp\/v2\/media?parent=19670"}],"wp:term":[{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/kinsta.com\/fr\/wp-json\/wp\/v2\/tags?post=19670"},{"taxonomy":"topic","embeddable":true,"href":"https:\/\/kinsta.com\/fr\/wp-json\/wp\/v2\/topic?post=19670"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}