🔒 SĂ©curiser son site WordPress ou Joomla : erreurs frĂ©quentes et bonnes pratiques

Aujourd’hui, WordPress et Joomla reprĂ©sentent Ă  eux seuls plus de 60 % des CMS utilisĂ©s dans le monde. Leur popularitĂ© en fait des cibles privilĂ©giĂ©es pour les cybercriminels. Failles de sĂ©curitĂ©, plugins malveillants, mots de passe faibles
 les attaques sont nombreuses, mais elles ne sont pas une fatalitĂ©.

Voici un tour d’horizon des risques concrets liĂ©s Ă  ces CMS, et comment protĂ©ger efficacement votre site.

🎯 Cas concrets d’attaques sur WordPress et Joomla

1. Un plugin WordPress piratĂ© : exemple de “Display Widgets”

En 2017, le plugin “Display Widgets” (plus de 200 000 installations) a Ă©tĂ© rachetĂ© par un dĂ©veloppeur malveillant. Il y a injectĂ© un backdoor pour publier du spam sur les sites utilisant ce plugin.

âžĄïž ConsĂ©quence : De nombreux sites se sont retrouvĂ©s Ă  afficher des contenus illĂ©gitimes, parfois sans que le propriĂ©taire ne s’en rende compte.

2. Joomla : faille SQLi dans le composant com_fields (2018)

Cette vulnĂ©rabilitĂ© permettait Ă  un attaquant non authentifiĂ© d’injecter des requĂȘtes SQL pour extraire les comptes utilisateurs.

âžĄïž ConsĂ©quence : Si votre compte admin n’est pas protĂ©gĂ©, les hackers peuvent en prendre le contrĂŽle.

3. WordPress mal configuré : accÚs libre au fichier wp-config.php

Sur un serveur mal sĂ©curisĂ©, ce fichier peut ĂȘtre accessible publiquement. Il contient vos identifiants de base de donnĂ©es.

âžĄïž ConsĂ©quence : Une compromission totale de votre site et de sa base de donnĂ©es.

🔐 Comment bien sĂ©curiser son site WordPress ou Joomla

Voici les bonnes pratiques essentielles Ă  appliquer :

✅ 1. Gardez votre CMS, vos thùmes et vos plugins à jour

C’est la base absolue. Les mises Ă  jour corrigent des failles souvent exploitĂ©es par des bots ou des scripts automatisĂ©s.

  • Activez les mises Ă  jour automatiques sur WordPress pour les plugins critiques.
  • Sur Joomla, utilisez une extension de surveillance des mises Ă  jour (comme Akeeba CMS Update Notifier).

✅ 2. Supprimez tout ce qui est inutile

Chaque plugin ou thĂšme inactif est une porte d’entrĂ©e potentielle.

  • Supprimez les extensions inutilisĂ©es.
  • Ne gardez que les thĂšmes/plug-ins de sources officielles (WordPress.org, Joomla Extensions Directory).

✅ 3. ProtĂ©gez vos fichiers critiques

  • Sur WordPress : bloquez l’accĂšs Ă  wp-config.php, .htaccess, xmlrpc.php si vous ne l’utilisez pas.
  • Sur Joomla : limitez l’accĂšs Ă  configuration.php.

Exemple de code Ă  ajouter dans .htaccess :

.htaccess

<Files wp-config.php>
Order Allow,Deny
Deny from all
</Files>

✅ 4. Utilisez un pare-feu applicatif (WAF)

Un Web Application Firewall permet de bloquer les attaques avant mĂȘme qu’elles n’atteignent votre CMS.

  • Exemple : Imunify360, que nous avons installĂ© rĂ©cemment sur tous les sites hĂ©bergĂ©s chez nous, analyse et bloque les scripts malveillants en temps rĂ©el.
  • Sinon, des plugins comme Wordfence (WordPress) ou RSFirewall (Joomla) sont de bons complĂ©ments.

✅ 5. Activez l’authentification à deux facteurs (2FA)

Un mot de passe fort, c’est bien. Le 2FA, c’est mieux.

  • WordPress : Plugin “WP 2FA”, “Google Authenticator”, ou via une solution d’hĂ©bergement sĂ©curisĂ©e.
  • Joomla : Activez la double authentification dans les paramĂštres utilisateurs.

✅ 6. Sauvegardez rĂ©guliĂšrement
 et testez vos sauvegardes

Utilisez des extensions comme :

  • UpdraftPlus (WordPress) ou Akeeba Backup (Joomla) pour automatiser vos sauvegardes.
  • Pensez Ă  stocker vos backups en externe (cloud, FTP, NAS) et testez les restaurations de temps en temps.

✅ 7. Analysez rĂ©guliĂšrement votre site

Des scanners peuvent détecter des fichiers infectés ou des comportements suspects :

  • WordPress : MalCare, Wordfence, Sucuri Scanner
  • Joomla : MyJoomla, RSFirewall

👉 Sur nos serveurs, Imunify360 scanne en temps rĂ©el tous les fichiers. DĂšs qu’un fichier suspect est dĂ©tectĂ©, il est automatiquement mis en quarantaine.

🧠 Conclusion

Un site WordPress ou Joomla bien sĂ©curisĂ©, ce n’est pas qu’une affaire de plugin. C’est un ensemble de bonnes pratiques, une vigilance continue, et le recours Ă  des solutions de protection professionnelles.

Si vous avez un doute sur l’état de sĂ©curitĂ© de votre site, nous pouvons effectuer un audit rapide et gratuit pour vĂ©rifier qu’aucune porte d’entrĂ©e n’est laissĂ©e ouverte.

đŸ›Ąïž ProtĂ©gez votre site. ProtĂ©gez votre activitĂ©.