Comprendre les ransomwares et protéger son entreprise

Ce que vous saurez faire

Ce tutoriel vous apprend a securiser de bout en bout un site WordPress destine a une PME senegalaise (boutique e-commerce WooCommerce, site vitrine, blog professionnel) en appliquant une checklist eprouvee de 15 points. Vous saurez durcir l’installation initiale, configurer correctement les permissions de fichiers, choisir et parametrer les bons plugins de securite (Wordfence, iThemes Security, Sucuri), proteger l’acces administrateur avec MFA, mettre en place des sauvegardes automatiques chiffrees, surveiller les tentatives d’intrusion en temps reel, et reagir en cas de compromission. Le contenu est calibre pour un site heberge chez un prestataire local (LWS Senegal, Dakarmedia, OVH, Hostinger) ou en VPS auto-administre. Une PME peut realiser cette securisation en 4 a 6 heures et la facturer entre 250 000 et 600 000 FCFA HT a un client final selon la complexite du site et la taille du catalogue WooCommerce.

Etape 1 : Mise a jour immediate du noyau, themes et plugins

Connectez-vous au tableau de bord WordPress en tant qu’administrateur. Allez dans Tableau de bord > Mises a jour. Avant toute action, faites une sauvegarde complete (etape 11). Mettez a jour dans cet ordre : noyau WordPress, themes actifs, plugins. Supprimez ensuite les themes et plugins inactifs : ils restent une porte d’entree meme desactives. Verifiez la version PHP du serveur (Outils > Sante du site) : minimum PHP 8.1 en 2026.

Etape 2 : Renommer l’utilisateur admin par defaut

Le compte « admin » est cible par 80 % des attaques par force brute. Creez un nouveau compte administrateur avec un nom non devinable (ex. « msarrgest2026 »), deconnectez-vous, reconnectez-vous avec ce nouveau compte, puis supprimez l’ancien admin en attribuant son contenu au nouveau. Verifiez aussi que le slug « auteur » public ne revele pas le login : installez « Edit Author Slug » et changez l’identifiant URL.

Etape 3 : Mots de passe robustes et MFA obligatoire

Imposez 14 caracteres minimum avec majuscules, chiffres, symboles. Installez le plugin Wordfence Login Security (gratuit) ou Two Factor Authentication. Activez le MFA TOTP pour tous les comptes ayant un role superieur ou egal a Editeur. Stockez les codes de recuperation dans un gestionnaire de mots de passe (Bitwarden, KeePass). Forcez la reinitialisation des mots de passe utilisateurs vieux de plus de 6 mois.

Etape 4 : Limiter les tentatives de connexion

Installez « Limit Login Attempts Reloaded » (gratuit). Reglages recommandes : 4 tentatives autorisees, blocage 60 minutes, 3 blocages consecutifs entrainent un bannissement de 24 heures. Activez les notifications email vers admin@votredomaine.sn pour chaque IP bannie. Cette mesure seule reduit de 95 % les attaques par force brute.

Etape 5 : Modifier l’URL de connexion par defaut

Le chemin /wp-admin et /wp-login.php est universellement connu. Installez WPS Hide Login. Definissez un slug imprevisible : par exemple /connexion-direction-2026. Sauvegardez ce nouveau lien dans votre gestionnaire de mots de passe. Apres activation, toute requete vers /wp-admin renvoie 404, ce qui dissuade la majorite des bots.

Etape 6 : Desactiver l’editeur de fichiers dans l’admin

Si un attaquant obtient un acces admin, l’editeur integre permet d’injecter du code PHP malveillant. Editez le fichier wp-config.php a la racine et ajoutez avant la ligne « That’s all » :

define('DISALLOW_FILE_EDIT', true);
define('DISALLOW_FILE_MODS', true);

La premiere directive desactive l’editeur. La seconde empeche l’installation de plugins ou themes via l’interface admin (utile en environnement gere).

Etape 7 : Securiser le fichier wp-config.php

Ce fichier contient les identifiants de la base de donnees. Deplacez-le un niveau au-dessus de la racine web si l’hebergeur le permet, ou protegez-le par .htaccess :

<Files wp-config.php>
  Require all denied
</Files>

Generez de nouvelles cles secretes via api.wordpress.org/secret-key/1.1/salt/ et collez-les en remplacement des cles existantes dans wp-config.php. Cela invalide toutes les sessions actives et oblige une reconnexion.

Etape 8 : Permissions correctes des fichiers

Connectez-vous en SSH sur l’hebergement et appliquez les permissions standard :

find /var/www/html -type d -exec chmod 755 {} \;
find /var/www/html -type f -exec chmod 644 {} \;
chmod 600 /var/www/html/wp-config.php

Verifiez le proprietaire des fichiers : il doit etre l’utilisateur du serveur web (www-data sur Debian/Ubuntu, apache sur CentOS), pas root. Une mauvaise permission 777 sur un dossier upload est l’origine de 30 % des compromissions WordPress.

Etape 9 : Pare-feu applicatif (WAF)

Installez Wordfence (gratuit, version premium a 99 USD/an pour les regles de blocage en temps reel). Activez le pare-feu en mode « Apprentissage » pendant 7 jours pour eviter de bloquer du trafic legitime, puis basculez en mode « Activated ». Alternative cloud : Cloudflare gratuit avec regles WAF de base et blocage par geolocalisation. Recommandation pour PME senegalaise : autoriser le trafic depuis le Senegal, la France, et les pays ou se trouvent vos clients.

Etape 10 : Forcer HTTPS partout

Si le certificat SSL n’est pas encore actif, demandez un certificat Let’s Encrypt gratuit a votre hebergeur (souvent en 1 clic). Installez « Really Simple SSL » qui force la redirection HTTP vers HTTPS et corrige les contenus mixtes. Verifiez avec ssllabs.com/ssltest que la note est A ou A+. Activez HSTS dans le .htaccess :

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"

Etape 11 : Sauvegardes automatiques chiffrees

Installez UpdraftPlus (gratuit) ou BackWPup. Configurez : sauvegarde des fichiers quotidienne, sauvegarde de la base de donnees toutes les 6 heures, retention 30 jours. Destination obligatoirement externe : Google Drive, Dropbox, ou un compte Backblaze B2 (1 USD pour 100 Go/mois). Activez le chiffrement AES-256 si le plugin le propose. Testez une restauration complete tous les 3 mois sur un environnement de staging.

Etape 12 : Desactiver XML-RPC si inutile

Le fichier xmlrpc.php est utilise pour les pingbacks et l’application mobile WordPress. Il est aussi un vecteur majeur d’attaques DDoS amplifie. Si vous n’en avez pas l’usage, ajoutez dans .htaccess :

<Files xmlrpc.php>
  Require all denied
</Files>

Si vous utilisez Jetpack ou l’app mobile, gardez-le actif mais limitez les methodes via le plugin « Disable XML-RPC Pingback ».

Etape 13 : Surveillance des fichiers et integrite

Activez dans Wordfence le scan quotidien de l’integrite des fichiers du noyau, themes et plugins. Toute modification non autorisee declenche une alerte email. Complement gratuit : installez WP Activity Log qui enregistre chaque connexion, modification de contenu, installation de plugin. Conservez les logs 90 jours minimum pour la conformite Loi 2008-12 du Senegal.

Etape 14 : Securisation de la base de donnees

Changez le prefixe par defaut « wp_ » via le plugin « Brozzme DB Prefix Tools » (a faire sur staging d’abord). Utilisez « wpsn_ » ou un autre prefixe non devinable. Cela bloque la majorite des injections SQL automatisees. Creez un utilisateur MySQL dedie au site avec uniquement les privileges SELECT, INSERT, UPDATE, DELETE, CREATE, ALTER sur la base WordPress, jamais avec GRANT ALL.

Etape 15 : Plan de reaction en cas d’incident

Documentez dans un fichier physique conserve hors-ligne : contact hebergeur (numero direct LWS, OVH ou Sonatel), procedure de bascule sur sauvegarde, contact d’un consultant securite WordPress (5 numeros minimum a Dakar), procedure de notification aux clients en cas de fuite (delai legal 72h selon Loi 2008-12). Realisez un exercice annuel de simulation : que faites-vous si demain matin le site affiche un message de hackers ?

Erreurs frequentes a eviter

• Installer 25 plugins de securite : ils se contredisent, ralentissent le site et creent des conflits. Un seul plugin majeur (Wordfence ou iThemes) suffit.
• Utiliser des themes nulled (pirates) : 60 % des themes premium telecharges sur des sites de partage contiennent une backdoor. N’utilisez que des sources officielles : ThemeForest, Elegant Themes, WordPress.org.
• Negliger les comptes « abonne » : meme un compte abonne compromis peut servir de pivot pour exploiter une faille de plugin. Activez la verification email obligatoire.
• Sauvegarder uniquement sur le serveur : en cas de compromission, l’attaquant supprime les sauvegardes locales. Externalisez systematiquement.
• Ignorer les logs serveur : les logs Apache/Nginx revelent des tentatives d’exploitation visibles 48h avant l’intrusion. Consultez-les chaque semaine.
• Oublier les sous-domaines : staging.entreprise.sn ou dev.entreprise.sn non securises servent a pivoter vers le domaine principal.
• Utiliser le meme mot de passe MySQL et WordPress : en cas de fuite d’un, l’autre tombe.
• Ne pas tester les sauvegardes : 40 % des sauvegardes ne sont pas restaurables. Testez chaque trimestre.

Checklist 15 points de securisation WordPress

• Noyau, themes, plugins a jour et plugins inactifs supprimes
• Compte « admin » supprime et remplace par un identifiant non devinable
• Mots de passe 14 caracteres et MFA actif sur tous les editeurs
• Limit Login Attempts configure avec blocage progressif
• URL de connexion modifiee via WPS Hide Login
• Editeur de fichiers desactive dans wp-config.php
• wp-config.php protege par .htaccess et cles secretes regenerees
• Permissions fichiers 644, dossiers 755, wp-config 600
• WAF Wordfence ou Cloudflare actif et regles ajustees
• HTTPS force et HSTS active, note ssllabs A ou A+
• Sauvegardes automatiques externalisees et chiffrees, retention 30 jours
• XML-RPC desactive ou restreint selon usage
• Surveillance integrite fichiers et logs activite 90 jours
• Prefixe base de donnees modifie et utilisateur MySQL avec privileges minimaux
• Plan de reaction documente avec contacts et procedure testee annuellement