Comment sécuriser mon site WordPress avec Solid Security

Chaque jour, des milliers de sites WordPress sont la cible de cyberattaques. Et contrairement aux idées reçues, ce ne sont pas seulement les gros sites qui sont visés : les petites entreprises, les blogs ou les boutiques en ligne sont tout aussi exposés.

Heureusement, il existe des solutions efficaces et accessibles pour protéger votre site.

Parmi elles, Solid Security (anciennement iThemes Security) se démarque comme l’un des plugins les plus complets du marché. À la fois simple à configurer et très puissant, il vous permet de mettre en place une véritable stratégie de défense, sans avoir besoin de devenir expert en cybersécurité.

Je vous présente ici ma configuration de Solid Security pour sécuriser efficacement un site WordPress. Vous pourrez appliquer ces conseils dès aujourd’hui pour renforcer la sécurité de votre site WordPress.

Alors, prêt à vous blinder ?

Installer l’extension

Comme à son habitude on commence par l’installation de l’extension depuis WordPress :

1. Connectez-vous à votre tableau de bord WordPress.
2. Allez dans « Extensions » > « Ajouter ».
3. Recherchez « Solid Security ».
4. Cliquez sur « Installer », puis sur « Activer ».

L’extension apparaît alors dans votre menu WordPress et vous propose dès l’ouverture un assistant de configuration rapide.

L’assistant de configuration

L’assistant de configuration sert à mettre en place les fondamentaux de la sécurité selon des critères, même si tous les réglages seront disponibles ensuite.

C’est une manière de préconfigurer l’extension. En général, vous pourrez activer les options recommandées.

Dans la première étape Site internet :

Commencez par choisir le type de site que vous possédez. Par exemple un site e-commerce ou Vitrine pour un site classique de prestataire avec quelques pages.

Vous pourrez effectuer une première analyse du site dans cet assistant de configuration. Cependant, je vous conseille de la passer afin d’effectuer la configuration, puis nous pourrons ensuite en lancer une avec votre extension fonctionnelle.

Pour une raison qui m’échappe un peu, Solid Security nous présente déjà quelques réglages ici avant de passer à la dite pré-configuration dans laquelle nous retrouverons ces réglages, je ne sais pas pourquoi…, mais bon.

Activez la protection Force brute :

Activez la politique de mots de passe forts :

La double authentification ajoute une seconde méthode après la vérification de votre mot de passe pour pouvoir vous connecter. Je ne l’active pas, car c’est un peu lourd et je ne pense pas que ce soit utile pour la plupart des cas.

Voilà, c’est ici que devrait commencer cet assistant de configuration.

Cochez dans un premier temps l’option « Mon propre site » (a priori vous vous occupez du vôtre) :

Ensuite, vous aurez à choisir la nature de votre connexion.

À moins que vous n’utilisiez des services comme CloudFlare, vous choisirez Connexion directe.

Vous cliquerez sur « Suivant » pour passer chaque étape.

D’ailleurs je ne vous conseille pas d’utiliser de serveur proxy pour tenter de rendre votre site plus rapide. Dans bien des cas cela va surtout vous rajouter plein de problèmes supplémentaires. En plus nous pouvons obtenir un site web performant sans tout ça.

Activez la vérification de sécurité Pro, disponible même en version gratuite (Basic).

Dans les réglages généraux.

Cliquez sur « Autoriser mon adresse IP » (pour mettre la vôtre en liste blanche), puis sur « Vérifier l’IP ».

Dans les fonctionnalités.

Vous pouvez activer la double authentification (2FA). Donc idem ici, moi je ne l’active pas. Elle ajoute une couche de sécurité, mais c’est plus contraignant, à vous de voir.

Activez tous les paramètres de Pare-feu :

• Système de pare-feu : surveille les connexions et bloque les activités suspectes.
• Force brute locale : empêche les tentatives d’identification répétées (par les robots automatiques généralement).
• Réseau de force brute : mutualisation de la protection entre tous les sites utilisant Solid Security.

Dans Analyse de site vous pouvez activer la programmation pour éventuellement être prévenu de certaines failles que vous pourriez régler en effectuant une mise à jour (avec une notification par e-mail par exemple).

Celle-ci s’effectuera 2 fois par jour.

Parfois votre hébergeur s’occupera déjà de faire l’équivalent ; inutile dans le faire ce cas.

Puis dans Utilitaires, contrôlez l’activation de la Vérification de sécurité Pro.

Dans les Groupes.

Si vous êtes seul à gérer votre site, optez pour les groupes par défaut (puis laissez comme ça).

Sinon vous pourriez laisser actif tous les paramètres pour les administrateurs (gestion du plugin, tableaux de bord, mots de passe forts, refus de mots de passe compromis) et désactiver ces accès pour tous les autres rôles (ça sera plus simple).

Enfin, dans Notifications.

Décidez de qui recevra les notifications. A priori cochez uniquement votre compte (plus simple) ou laisser tous les comptes administrateurs (par défaut).

Nous verront d’autres paramètres plus bas au niveau des notifications.

Puis terminez la configuration.

Une fois toutes ces étapes complétées, votre site WordPress disposera déjà d’une bonne base de sécurité.

Réglages (faites y un tour)

Une fois l’assistant de configuration terminé, il est temps de personnaliser les réglages pour bénéficier de toute la puissance de Solid Security.

Rendez-vous dans le menu « Solid Security » > « Réglages ».

Réglages généraux

Cette section regroupe les paramètres de base qui influencent directement la manière dont Solid Security interagit avec les utilisateurs, les fichiers et les connexions.

Droits d’écriture

Cette option permet à Solid Security de modifier certains fichiers sensibles (comme .htaccess ou wp-config.php).

Blocages

Déterminez le comportement du plugin lorsqu’un utilisateur malveillant est détecté. Les réglages par défaut sont bien, mais vous pouvez les optimiser en les modifiant pour perturber davantage les robots qui se basent sur ces chiffres lors de leurs attaques automatiques.

Pour faire simple, vous pourriez les changer légèrement en les rendant plus contraignant :

• Choisissez une durée de blocage (minutes) plus grande, comme 21 ou 31 min (au lieu de 15).
• Idem pour les jours de mémorisation de blocage (7) où vous pourriez mettre 10.
• Laissez cochez Bloquer les récidivistes (tentatives de connexion).
• Seuil de blocage : mettez 2 (à la place de 3).

Messages de blocage

➡️ Pas besoin d’y toucher.

Vous pouvez personnaliser les messages affichés aux visiteurs bloqués.

Connexions autorisées

➡️ Ajoutez ici votre propre adresse IP (ou celle de collaborateurs) pour ne jamais être bloqué par erreur. Rien de plus ici que ce qui a été fait tout à l’heure.

Journalisation

Conservez une trace des événements de sécurité (connexions, modifications de fichiers, blocages, etc.).

• Vous pouvez choisir combien de jours conserver ces logs (ex. : 60 jours).
• Activez cette fonctionnalité pour améliorer la traçabilité en cas d’incident.

Pour la plupart des sites vous laisserez ce réglage comme il est (Base de données uniquement).

Détection d’IP

➡️ Vous laisserez Analyse de sécurité (recommandé) sélectionné ; cela devrait être le cas si vous avez suivi ce guide. Sinon, vous activerez l’option Vérification de sécurité Pro dans Fonctionnalités > Utilitaires. Ou vous pourriez aussi le voir dans vos alertes (en haut à droite), parmi les messages affichés :

Autre

Ici, vous trouverez l’option Masquage dans la barre d’administration que vous pouvez cocher afin de masquer cet onglet dans votre barre noire d’administration lorsque vous êtes connecté (histoire d’avoir moins de chose inutile).

Et si vous êtes gentil vous pouvez Autoriser le partage de données pour leur permettre d’améliorer leur outil.

Fonctionnalités

Cet onglet est divisé en plusieurs sections (Sécurisation de connexion ; Pare-feu ; Analyse de site ; Utilitaires).

Sécurisation de connexion

Double authentification

Je n’utilise pas la double authentification, mais si vous avez décidé de l’activer, vous pouvez aller plus loin dans sa configuration ici.

En choisissant la ou les méthodes : Application mobile, E-mail, Codes d’authentification de secours.

Puis éventuellement de la désactiver uniquement lors de la première connexion. Ceci peut-être utile sur des sites avec des inscrits (e-commerce, abonnés), afin d’alléger la procédure au début, afin de ne pas les faire fuir dès leur première visite/connexion.

Pare-feu

➡️ Toutes ces options devraient normalement être cochées.

Vous pouvez déplier chaque fenêtre en cliquant sur la flèche :

Bloquer les comptes

➡️ Vous pouvez dérouler la fenêtre pour y cocher Liste de blocage par défaut (HackRepair.com), ça ne coûte rien.

Système de pare-feu

➡️ Idem que pour nos Blocages des Réglages généraux de tout à l’heure : vous pouvez laisser ou optimiser un peu en venant modifier un peu les chiffres pour venir casser la structure par défaut.

Par exemple en changeant 10 en 8 pour le nbr. maximum (plus de contraintes, toujours) et 32 ou 40 à la place du 30 pour le temps de mémorisation.

Force brute locale

➡️ Je vous conseille donc ici de cocher Verrouillage automatique de l’utilisateur « admin ».

Le compte « admin » est souvent un identifiant par défaut, de préférence n’en ayez pas.

Cela était le cas pendant longtemps sur WordPress (ils l’ont changé depuis). Si vous en avez un, changez-le avant puis supprimer-le.

Dans le pire des cas, si vous avez un mot de passe compliqué avec ça devrait aller.

Même conseil que précédemment pour les chiffres suivants.

Réseau de force brute

➡️ Laissez vide.

Analyse de site

➡️ Ne touchez à rien ici non plus.

L’option Altération de fichiers peut-être intéresant en cas de souci, mais pour la plupart des site ne l’activez-pas ; sinon, vous serez prévenu pour la moindres modifications sur le site et recevrez énormément de notifications pour rien (il est normal que des fichiers se modifient sur votre site WordPress).

La programmation de l’analyse de site (ou Scheduled Site Scan) conservera votre choix précédent.

Utilitaires

➡️ Toutes ces options devraient être cochées :

Forcer le SSL

➡️ Activer cette option ; bien sûr il faut un certificat SSL activité sur votre serveur et votre site WordPress est censé être en https.

Sauvegarde de la base de données

Vous pouvez utiliser d’autres extensions comme BackwpUp pour gérer des sauvegardes pour votre site WordPress.

Mais Solid Security peut aussi sauvegarder automatiquement votre base de données à intervalle régulier.

➡️ Je vous conseille d’activer cette option.

Pour des sites qui changent régulièrement (e-commerce, médias…) vous pouvez envisager des sauvegardes quotidiennes (1 jour). Pour les sites vitrines, qui n’ont pas vocation à changer souvent vous pourrez mettre 7 (semaine), 15 ou 30 jours (mois) d’intervalle.

Vous sauvegarderez Par e-mail seulement ou en ajoutant une sauvegarde en local (serveur) avec, soit Les deux.

Sachez que vous recevrez par e-mail ces sauvegardes ; pour ne pas être dérangé trop souvent avec ça, vous pourriez utiliser une adresse e-mail secondaires (« administrative ») uniquement pour les stocker de cette manière.

Si la sauvegarde en local est activée (avec l’e-mail), vous définirez une nombre maximal de Sauvegardes à conserver. Passé cette valeur, la plus ancienne est supprimée pour recevoir la nouvelle.

Donc si vous effectuez 1 sauvegarde tous les 30 jours (chaque mois) et que vous mettez 12 Sauvegardes à conserver, vous pourrez donc remonter jusqu’à 1 an en arrière.

Groupes

➡️ Si vous avez suivi l’assistant de configuration, tout est déjà paramétré correctement.

Pour la plupart des sites (site vitrine, blog personnel), il est inutile de modifier ces paramètres. Le groupe « Administrateur » a déjà les droits nécessaires pour gérer la sécurité, tandis que les autres rôles sont restreints pour éviter les erreurs.

Sauf cas particulier (site multi-auteurs, espace membre complexe…), vous pouvez laisser ces réglages tels quels.

Notifications

Solid Security propose plusieurs types de notifications par e-mail pour vous alerter en cas d’événements.

➡️ Pour éviter d’être submergé par les alertes, je vous conseille de désactiver un maximum de notifications. Rendez-vous dans chaque sous-onglet :

• Verrouillage du site
• Rapport de sécurité
• Sauvegarde de base de données
• etc.

Et vous renseignerez l’adresse e-mail qui recevra les sauvegardes de la base de données.

C’est aussi dans cet onglet que vous pourrez personnaliser les messages liés à la double authentification si vous avez activé cette fonctionnalité (contenu de l’e-mail de code, instructions, etc.) :

• E-mail de double authentification
• E-mail de confirmation de double authentification
• Notification de rappel à deux facteurs

Avancé

L’onglet « Avancé » regroupe des réglages techniques plus pointus.

Ajustements système

➡️ Laissez toutes les options cochées.

Ajustements WordPress

➡️ Cochez Désactiver l’éditeur de code.

Accès API

XML-RPC

➡️ A priori vous pourrez Désactiver XML-RPC, il sera rarement utilisé.

Sauf quelques extensions pourraient en avoir besoin et ne fonctionneront pas sans. C’est le cas par exemple de Jetpack (je ne l’utilise pas personnellement).

API REST

➡️ Idem ici, vous devriez pouvoir choisir Accès restreint.

Les API permettent de faire des connexions entre des outils.

Utilisateurs

➡️ Cochez les deux options :

1. Forcer un pseudonyme unique
2. Désactiver les archives des auteurs inactifs (inutile).

Déplacer la page de connexion

➡️ Activiez l’option Déplacer la page de connexion.

Cela permet de modifier l’URL par défaut de connexion à l’administration WordPress.

Initialement vous aurez : https://mon-site.fr/wp-admin

Cela changera « /wp-admin » par ce que vous y mettrez. Je vous conseille de mettre quelque chose qui sort de l’ordinaire afin qu’aucun robot ne puisse le deviner (pas de termes évidents ou le nom de la marque) :

❌Évitez :

• /connexion
• /administration

✅Préférez (par exemple) :

• /luciolle
• /cesticiquilfautaller.

Outils (un dernier effort)

Faisons maintenant un tour sur l’onglet Outils.

Identifier l’IP du serveur

➡️ Vous pouvez commencer par cliquer sur « Exécuter » concernant l’identification de l’IP du serveur.

Modifier l’utilisateur n°1

➡️ Idem pour Modifier l’utilisateur n°1 (Exécuter).

Par défaut l’id (numéro d’identifiant) du compte administrateur est 1. Cela peut être utiliser par des robots afin d’usurper ce compte admin.

Modifier le préfixe des tables de base de données

Si vous n’avez rien fait au moment de l’installation de votre site WordPress, toutes vos table de votre base de données commencent par « wp_ ». Toujours pour les mêmes raisons, puisque c’est quelques de connu (paramètre par défaut) les hackers peuvent s’en servir.

➡️ Faites Exécuter pour modifier les préfixes des tables.

Définir une clé de chiffrement

Ce réglage a été fait au moment de l’installation de Solid Security. Par contre, vous pourriez le refaire lorsque vous aurez été piraté.

Créer un chargeur d’extension MU

Ce que l’on appelle des mu-plugins sont des extensions qui ne peuvent être désactivées qu’en supprimant les fichiers directement sur le serveur.

Elles sont aussi chargées en premier, et c’est cela qui est surtout utilisé avec cette ce réglage.

➡️ Vous pouvez activer l’option d’extension MU.

Vous constaterez une nouvelle extension (Solid Security Loader) présente dans l’onglet Indispensable :

Normalement vous n’aurez pas besoin d’effectuer d’autres réglages dans Outils.

Modifier les clés de salage de WordPress ne sert éventuellement que lorsque vous autre subi une attaque ou que vous suspecté un utilisateur malveillant. Cela force tous les utilisateurs connectés (vous compris) à se reconnecter, même s’ils étaient sur le site à ce moment-là.

Analyses de site

L’onglet Analyses de site permet de lancer un scan de sécurité manuel de votre site WordPress.

L’analyse détecte notamment :

• Les mises à jour à effectuer (WordPress, extensions et thèmes)
• Les vulnérabilités présentes sur votre site
• La double authentification
• Les sécurité des mots de passe

Je ne parle pas du reste, cela fait déjà beaucoup. Normalement vous serez très bien comme ça.

Si jamais vous devez gérer des comptes sur votre site, alors l’onglet Comptes utilisateurs pourraient vous servir. Pour réinitialiser des mots de passe, forcer la double authentification, verrouiller un utilisateur, etc.

Un mot sur les avantages de la version Pro

Pour les sites WordPress qui gèrent, des transactions, des comptes utilisateurs ou des données sensibles (e‑commerce, formations en ligne, espaces membres…), certaines protections deviennent vite indispensables.

La version Pro de Solid Security permet, entre autres, de bloquer les failles de sécurité connues avant même qu’un plugin soit mis à jour (via Patchstack), d’activer des sauvegardes et mises à jour automatiques pour éviter les oublis critiques, et s’occupe aussi des risques liés aux comptes utilisateurs (identifiants de connexion faibles, comptes inactifs…).

Pourquoi choisir Solid Security ?

Il existe des dizaines de plugins de sécurité pour WordPress, alors pourquoi choisir Solid Security ?

• Une solution tout-en-un : Solid Security couvre l’essentiel (et plus) de ce qu’on attend d’un plugin de sécurité : protection contre les attaques par force brute, restrictions d’accès, journalisation, scan de malwares, 2FA, et bien d’autres.
• Une version gratuite déjà très complète : la plupart des besoins de base (et même bien plus) peuvent être couverts sans abonnement payant.
• Une interface simple et intuitive : pas besoin d’être expert en cybersécurité pour s’y retrouver. L’outil propose un assistant de configuration qui vous guide étape par étape.
• Des options avancées en version Pro : comme la protection via Patchstack ; il corrige les failles de sécurité dès qu’elles apparaissent sur votre site, même sans faire la mise à jour de l’extension qui aurait causé la faille (par exemple), Solid Security s’en occupe pour vous en attendant.
• Une communauté active et une équipe fiable : SolidWP est une entreprise reconnue dans l’écosystème WordPress.