Aller au contenu principal
Gaprod

Protéger son site du piratage

Les bonnes pratiques et mesures de sécurité essentielles pour protéger votre site web contre les attaques et tentatives de piratage.

Mis à jour le 22 janvier 2026

Présentation

La sécurité de votre site web est une responsabilité partagée entre Gaprod et vous. Gaprod sécurise l'infrastructure serveur, mais la protection de votre application — WordPress, code personnalisé ou fichiers de configuration — dépend de vos pratiques. Ce guide présente les mesures essentielles pour protéger votre site.

La sécurité est un processus continu

Un site sécurisé aujourd'hui peut devenir vulnérable demain suite à la découverte d'une nouvelle faille. La sécurité n'est pas une action ponctuelle mais une vigilance permanente : mises à jour régulières, surveillance et sauvegardes sont indispensables.

Mesures de base indispensables

Utiliser des mots de passe forts

Les attaques par force brute ciblent en priorité les mots de passe faibles. Appliquez ces règles :

  • Minimum 16 caractères pour les accès critiques (cPanel, FTP, base de données)
  • Combinaison de lettres majuscules/minuscules, chiffres et caractères spéciaux
  • Mot de passe unique pour chaque service
  • Utiliser un gestionnaire de mots de passe (Bitwarden, 1Password, KeePass)

Activer l'authentification à deux facteurs (2FA)

Le 2FA ajoute une couche de protection même si votre mot de passe est compromis. Activez-le sur :

  • Votre panneau cPanel (voir le guide Authentification à deux facteurs)
  • Votre espace client Gaprod
  • Votre tableau de bord WordPress (extension comme WP 2FA)

Sécuriser un site WordPress

WordPress représente plus de 40 % des sites web et est la cible principale des pirates. Voici les mesures spécifiques à appliquer.

  1. Maintenir WordPress et les extensions à jour

    La majorité des piratages WordPress exploitent des vulnérabilités connues dans des versions non mises à jour. Dans le tableau de bord WordPress, activez les mises à jour automatiques pour les mises à jour mineures de sécurité.

    Mettez à jour régulièrement :

    • WordPress (core)
    • Tous les thèmes installés
    • Toutes les extensions/plugins

    Supprimez les thèmes et extensions inutilisés, même désactivés.

  2. Changer le préfixe des tables de base de données

    Par défaut, WordPress utilise le préfixe wp_ pour ses tables. Les scripts d'injection SQL ciblent ce préfixe. Lors de l'installation, choisissez un préfixe aléatoire (ex. : gx7k_).

    Pour un site existant, une extension comme Brozzme DB Prefix & Tools Addons peut modifier ce préfixe.

  3. Protéger le fichier wp-config.php

    Le fichier wp-config.php contient les identifiants de votre base de données. Dans le Gestionnaire de fichiers cPanel, modifiez ses permissions en 600 (lecture/écriture uniquement pour le propriétaire).

    Ajoutez également dans votre .htaccess :

    <Files wp-config.php>
Order allow,deny
Deny from all
</Files>

  4. Bloquer l'accès à wp-admin

    Limitez l'accès à la page de connexion WordPress en ajoutant dans le fichier .htaccess situé dans le dossier wp-admin/ :

    Order Deny,Allow
Deny from all
Allow from VOTRE_ADRESSE_IP

    Remplacez VOTRE_ADRESSE_IP par votre adresse IP fixe. Si votre IP change régulièrement, utilisez une extension comme Limit Login Attempts Reloaded pour bloquer les attaques par force brute.

  5. Installer une extension de sécurité

    Une extension dédiée comme Wordfence Security ou iThemes Security offre :

    • Scanner de malwares
    • Protection contre la force brute
    • Détection de modifications de fichiers
    • Pare-feu applicatif (WAF)

Sécuriser les fichiers et permissions

  1. Vérifier les permissions des fichiers

    Des permissions trop ouvertes sont une porte d'entrée pour les pirates. Vérifiez que vos fichiers respectent ces règles :

    • Fichiers PHP/HTML : permissions 644
    • Dossiers : permissions 755
    • wp-config.php et autres fichiers sensibles : 600
    • Jamais de permissions 777 sur des fichiers ou dossiers publics

  2. Désactiver l'exécution PHP dans les dossiers d'upload

    Le dossier d'upload (ex. : wp-content/uploads/) ne devrait jamais exécuter du PHP. Créez un fichier .htaccess dans ce dossier avec le contenu suivant :

    <Files *.php>
Deny from all
</Files>

    Cela empêche l'exécution de scripts PHP malveillants qui auraient été téléversés via un formulaire.

Activer la surveillance et les sauvegardes

  • Sauvegardes quotidiennes : configurez JetBackup dans cPanel pour sauvegarder automatiquement votre site chaque jour. En cas de piratage, vous pouvez restaurer une version saine.
  • Journaux d'accès : consultez régulièrement les journaux dans cPanel → Journaux pour détecter des accès suspects.
  • Monitoring externe : un service comme UptimeRobot vous alerte si votre site devient inaccessible.

Que faire en cas de piratage ?

Si vous détectez que votre site a été piraté : restaurez immédiatement une sauvegarde saine, changez tous les mots de passe (cPanel, FTP, BDD, WordPress), identifiez et corrigez la faille exploitée, puis scannez à nouveau votre site avant de le remettre en ligne.

Étapes suivantes

Pour renforcer davantage la sécurité de votre hébergement :

  • Configurez un pare-feu applicatif (WAF)
  • Activez l'authentification à deux facteurs sur cPanel
  • Mettez en place des sauvegardes automatiques avec JetBackup

Besoin d'aide supplémentaire ?

Notre support technique est disponible du lundi au vendredi pour répondre à vos questions.

Ouvrir un ticketVoir le blog