Comprendre les ransomwares et protéger son entreprise

Ce que vous saurez faire

Ce tutoriel vous apprend a sécuriser de bout en bout un site WordPress destine a une PME sénégalaise (boutique e-commerce WooCommerce, site vitrine, blog professionnel) en appliquant une checklist eprouvee de 15 points. Vous saurez durcir l’installation initiale, configurer correctement les permissions de fichiers, choisir et paramétrer les bons plugins de sécurité (Wordfence, iThemes Security, Sucuri), protéger l’acces administrateur avec MFA, mettre en place des sauvegardes automatiques chiffrees, surveiller les tentatives d’intrusion en temps réel, et reagir en cas de compromission. Le contenu est calibre pour un site heberge chez un prestataire local (LWS Sénégal, Dakarmedia, OVH, Hostinger) ou en VPS auto-administre. Une PME peut réaliser cette securisation en 4 a 6 heures et la facturer entre 250 000 et 600 000 FCFA HT a un client final selon la complexité du site et la taille du catalogue WooCommerce.

Étape 1 : Mise a jour immédiate du noyau, thèmes et plugins

Connectez-vous au tableau de bord WordPress en tant qu’administrateur. Allez dans Tableau de bord > Mises a jour. Avant toute action, faites une sauvegarde complète (étape 11). Mettez a jour dans cet ordre : noyau WordPress, thèmes actifs, plugins. Supprimez ensuite les thèmes et plugins inactifs : ils restent une porte d’entree même desactives. Vérifiez la version PHP du serveur (Outils > Santé du site) : minimum PHP 8.1 en 2026 (informations vérifiées en avril 2026, susceptibles d’évoluer).

Étape 2 : Renommer l’utilisateur admin par défaut

Le compte « admin » est cible par 80 % des attaques par force brute. Créez un nouveau compte administrateur avec un nom non devinable (ex. « msarrgest2026 »), deconnectez-vous, reconnectez-vous avec ce nouveau compte, puis supprimez l’ancien admin en attribuant son contenu au nouveau. Vérifiez aussi que le slug « auteur » public ne révèle pas le login : installez « Edit Author Slug » et changez l’identifiant URL.

Étape 3 : Mots de passe robustes et MFA obligatoire

Imposez 14 caractères minimum avec majuscules, chiffres, symboles. Installez le plugin Wordfence Login Security (gratuit) ou Two Factor Authentication. Activez le MFA TOTP pour tous les comptes ayant un role supérieur ou egal a Éditeur. Stockez les codes de recuperation dans un gestionnaire de mots de passe (Bitwarden, KeePass). Forcez la reinitialisation des mots de passe utilisateurs vieux de plus de 6 mois.

Étape 4 : Limiter les tentatives de connexion

Installez « Limit Login Attempts Reloaded » (gratuit). Reglages recommandes : 4 tentatives autorisees, blocage 60 minutes, 3 blocages consecutifs entrainent un bannissement de 24 heures. Activez les notifications email vers admin@votredomaine.sn pour chaque IP bannie. Cette mesure seule réduit de 95 % les attaques par force brute.

Étape 5 : Modifier l’URL de connexion par défaut

Le chemin /wp-admin et /wp-login.php est universellement connu. Installez WPS Hide Login. Definissez un slug imprevisible : par exemple /connexion-direction-2026. Sauvegardez ce nouveau lien dans votre gestionnaire de mots de passe. Après activation, toute requete vers /wp-admin renvoie 404, ce qui dissuade la majorité des bots.

Étape 6 : Désactiver l’éditeur de fichiers dans l’admin

Si un attaquant obtient un acces admin, l’éditeur integre permet d’injecter du code PHP malveillant. Editez le fichier wp-config.php a la racine et ajoutez avant la ligne « That’s all » :

define('DISALLOW_FILE_EDIT', true);
define('DISALLOW_FILE_MODS', true);

La première directive desactive l’éditeur. La seconde empêche l’installation de plugins ou thèmes via l’interface admin (utile en environnement gere).

Étape 7 : Sécuriser le fichier wp-config.php

Ce fichier contient les identifiants de la base de données. Deplacez-le un niveau au-dessus de la racine web si l’hébergeur le permet, ou protegez-le par .htaccess :

<Files wp-config.php>
  Require all denied
</Files>

Generez de nouvelles cles secrètes via api.wordpress.org/secret-key/1.1/salt/ et collez-les en remplacement des cles existantes dans wp-config.php. Cela invalide toutes les sessions actives et oblige une reconnexion.

Étape 8 : Permissions correctes des fichiers

Connectez-vous en SSH sur l’hébergement et appliquez les permissions standard :

find /var/www/html -type d -exec chmod 755 {} \;
find /var/www/html -type f -exec chmod 644 {} \;
chmod 600 /var/www/html/wp-config.php

Vérifiez le proprietaire des fichiers : il doit être l’utilisateur du serveur web (www-data sur Debian/Ubuntu, apache sur CentOS), pas root. Une mauvaise permission 777 sur un dossier upload est l’origine de 30 % des compromissions WordPress.

Étape 9 : Pare-feu applicatif (WAF)

Installez Wordfence (gratuit, version premium a 99 USD/an pour les règles de blocage en temps réel). Activez le pare-feu en mode « Apprentissage » pendant 7 jours pour éviter de bloquer du trafic légitime, puis basculez en mode « Activated ». Alternative cloud : Cloudflare gratuit avec règles WAF de base et blocage par geolocalisation. Recommandation pour PME sénégalaise : autoriser le trafic depuis le Sénégal, la France, et les pays ou se trouvent vos clients.

Étape 10 : Forcer HTTPS partout

Si le certificat SSL n’est pas encore actif, demandez un certificat Let’s Encrypt gratuit a votre hébergeur (souvent en 1 clic). Installez « Really Simple SSL » qui force la redirection HTTP vers HTTPS et corrige les contenus mixtes. Vérifiez avec ssllabs.com/ssltest que la note est A ou A+. Activez HSTS dans le .htaccess :

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"

Étape 11 : Sauvegardes automatiques chiffrees

Installez UpdraftPlus (gratuit) ou BackWPup. Configurez : sauvegarde des fichiers quotidienne, sauvegarde de la base de données toutes les 6 heures, retention 30 jours. Destination obligatoirement externe : Google Drive, Dropbox, ou un compte Backblaze B2 (1 USD pour 100 Go/mois). Activez le chiffrement AES-256 si le plugin le propose. Testez une restauration complète tous les 3 mois sur un environnement de staging.

Étape 12 : Désactiver XML-RPC si inutile

Le fichier xmlrpc.php est utilise pour les pingbacks et l’application mobile WordPress. Il est aussi un vecteur majeur d’attaques DDoS amplifie. Si vous n’en avez pas l’usage, ajoutez dans .htaccess :

<Files xmlrpc.php>
  Require all denied
</Files>

Si vous utilisez Jetpack ou l’app mobile, gardez-le actif mais limitez les méthodes via le plugin « Disable XML-RPC Pingback ».

Étape 13 : Surveillance des fichiers et intégrité

Activez dans Wordfence le scan quotidien de l’intégrité des fichiers du noyau, thèmes et plugins. Toute modification non autorisee déclenche une alerte email. Complément gratuit : installez WP Activity Log qui enregistre chaque connexion, modification de contenu, installation de plugin. Conservez les logs 90 jours minimum pour la conformité Loi 2008-12 du Sénégal.

Étape 14 : Securisation de la base de données

Changez le prefixe par défaut « wp_ » via le plugin « Brozzme DB Prefix Tools » (a faire sur staging d’abord). Utilisez « wpsn_ » ou un autre prefixe non devinable. Cela bloque la majorité des injections SQL automatisées. Créez un utilisateur MySQL dedie au site avec uniquement les privileges SELECT, INSERT, UPDATE, DELETE, CREATE, ALTER sur la base WordPress, jamais avec GRANT ALL.

Étape 15 : Plan de réaction en cas d’incident

Documentez dans un fichier physique conserve hors-ligne : contact hébergeur (numéro direct LWS, OVH ou Sonatel), procédure de bascule sur sauvegarde, contact d’un consultant sécurité WordPress (5 numéros minimum a Dakar), procédure de notification aux clients en cas de fuite (délai legal 72h selon Loi 2008-12). Realisez un exercice annuel de simulation : que faites-vous si demain matin le site affiche un message de hackers ?

Erreurs frequentes a éviter

• Installer 25 plugins de sécurité : ils se contredisent, ralentissent le site et creent des conflits. Un seul plugin majeur (Wordfence ou iThemes) suffit.
• Utiliser des thèmes nulled (pirates) : 60 % des thèmes premium téléchargés sur des sites de partage contiennent une backdoor. N’utilisez que des sources officielles : ThemeForest, Élégant Thèmes, WordPress.org.
• Negliger les comptes « abonne » : même un compte abonne compromis peut servir de pivot pour exploiter une faille de plugin. Activez la vérification email obligatoire.
• Sauvegarder uniquement sur le serveur : en cas de compromission, l’attaquant supprime les sauvegardes locales. Externalisez systématiquement.
• Ignorer les logs serveur : les logs Apache/Nginx revelent des tentatives d’exploitation visibles 48h avant l’intrusion. Consultez-les chaque semaine.
• Oublier les sous-domaines : staging.entreprise.sn ou dev.entreprise.sn non sécurisés servent a pivoter vers le domaine principal.
• Utiliser le même mot de passe MySQL et WordPress : en cas de fuite d’un, l’autre tombe.
• Ne pas tester les sauvegardes : 40 % des sauvegardes ne sont pas restaurables. Testez chaque trimestre.

Checklist 15 points de securisation WordPress

• Noyau, thèmes, plugins a jour et plugins inactifs supprimes
• Compte « admin » supprime et remplace par un identifiant non devinable
• Mots de passe 14 caractères et MFA actif sur tous les éditeurs
• Limit Login Attempts configuré avec blocage progressif
• URL de connexion modifiée via WPS Hide Login
• Éditeur de fichiers desactive dans wp-config.php
• wp-config.php protege par .htaccess et cles secrètes regenerees
• Permissions fichiers 644, dossiers 755, wp-config 600
• WAF Wordfence ou Cloudflare actif et règles ajustees
• HTTPS force et HSTS active, note ssllabs A ou A+
• Sauvegardes automatiques externalisees et chiffrees, retention 30 jours
• XML-RPC desactive ou restreint selon usage
• Surveillance intégrité fichiers et logs activite 90 jours
• Prefixe base de données modifie et utilisateur MySQL avec privileges minimaux
• Plan de réaction documente avec contacts et procédure testée annuellement