7ème article consacré au cPanel d’o2switch :
- Les outils exclusifs du cPanel d’o2switch
- Outils du cPanel d’o2switch : la gestion des emails
- Gérer les fichiers de son site avec le cPanel d’o2switch
- Gérer les bases de données avec le cPanel d’o2switch
- La gestion des domaines dans le cPanel d’o2switch
- Comprendre la section « Mesures » du cPanel o2switch
- Protéger WordPress avec o2switch : la section sécurité du cPanel
La sécurité d’un site WordPress repose autant sur la qualité du code que sur la robustesse de l’hébergement. Dans le cPanel d’o2switch, la section Sécurité rassemble les outils permettant de protéger vos accès, vos données et les interactions entre votre site et ses visiteurs. Elle couvre aussi bien la gestion des certificats SSL que la protection contre les attaques web, la surveillance des fichiers infectés ou la restriction d’accès au serveur. Comprendre chacun de ces modules est essentiel pour maintenir un environnement fiable, conforme et résistant aux menaces courantes. Je vous présente aujourd’hui les fonctionnalités disponibles et leur rôle dans la protection de votre site.
L’accès SSH : l’outil pour administrer WordPress en profondeur
SSH signifie Secure Shell. Secure pour connexion chiffrée. C’est un protocole de communication sécurisé qui permet de se connecter à distance à un serveur et d’exécuter des commandes comme si l’on était physiquement devant lui.
Ainsi, l’accès SSH permet d’ouvrir une connexion sécurisée au serveur et d’interagir directement avec votre hébergement via une ligne de commande. Avant de pouvoir l’utiliser, il est indispensable d’activer l’accès SSH dans le cPanel, car cette fonctionnalité n’est pas disponible par défaut. Une fois activée, vous pouvez vous connecter à l’aide d’une clé SSH ou, selon la configuration choisie, d’un mot de passe.
Pour WordPress, SSH devient un outil extrêmement précieux. Grâce à WP-CLI, l’interface en ligne de commande dédiée à WordPress, il est possible d’intervenir même lorsque le tableau de bord est inaccessible. En quelques commandes, vous pouvez désactiver des extensions qui provoquent une erreur critique, mettre à jour WordPress et ses extensions, régénérer les miniatures, réparer ou optimiser la base de données, ou encore remplacer toutes les URLs du site après une migration.
SSH est également indispensable pour diagnostiquer rapidement une panne. Enfin, SSH offre la possibilité d’automatiser des tâches régulières comme vider le cache, exécuter de scripts, sans jamais solliciter l’interface WordPress.
Le bloqueur d’adresses IP : efficace contre les attaques sur wp-login et wp-admin
WordPress est particulièrement ciblé par les attaques sur les pages /wp-login.php et /wp-admin/. Le bloqueur d’adresses IP du cPanel permet de stopper ces tentatives avant même que WordPress n’entre en action. Lorsqu’une adresse IP effectue des centaines de tentatives de connexion en quelques secondes, explore des URLs sensibles ou cherche à forcer l’accès à l’administration, il suffit de la bloquer pour qu’elle ne puisse même plus atteindre votre site.
Cette méthode est très efficace puisque le blocage intervient au niveau du serveur web.
Le bloqueur d’IP permet d’obtenir un niveau de sécurité élevé tout en soulageant WordPress des requêtes indésirables.
Pour repérer quelles IP génèrent des tentatives d’attaque. Plusieurs méthodes permettent d’identifier rapidement ces adresses suspectes.
Par exemple en consultant les journaux d’erreurs (error_log) via SSH. Pour cela, vous devez utiliser le Terminal que vous trouverez dans la section Avancé du cPanel. En allant dans ce module, vous trouverez un avertissement disant que cet outil est réservé aux utilisateurs avancés. En validant, vous confirmez que vous comprenez.
Une fois dans le terminal, vous pourrez taper la commande :
tail -f error_logSi une IP apparaît toutes les quelques secondes, en particulier sur des URLs sensibles (wp-login.php, xmlrpc.php, wp-admin), il s’agit très probablement d’un robot malveillant.
(La bonne pratique veut qu’on modifie l’accès au formulaire d’accès au tableau de bord de votre site WordPress)
SSL/TLS et Let’s Encrypt : sécuriser WordPress en HTTPS
Le chiffrement HTTPS est essentiel pour tout site web, tant pour la sécurité des utilisateurs que pour le SEO. Depuis le cPanel d’o2switch, Let’s Encrypt permet d’installer en quelques secondes un certificat SSL gratuit. Une fois activé, il garantit que toutes les communications entre les visiteurs et votre site sont chiffrées.
Cependant, l’activation du SSL ne suffit pas toujours. Lors de migrations ou de changement d’URL, WordPress continue parfois d’appeler des ressources en HTTP, provoquant des erreurs de “contenu mixte”. Ce problème peut être résolu rapidement grâce à WP-CLI, par exemple en remplaçant toutes les occurrences de l’ancienne URL par leur version HTTPS.
Dans la grande majorité des cas, vous n’aurez pas à intervenir dans le module SSL/TLS.
Un utilisateur classique d’un site WordPress n’a aucune raison d’intervenir dans ce module, car o2switch gère automatiquement l’essentiel de la configuration SSL grâce à Let’s Encrypt.
Cet espace un peu plus technique est destiné à des personnes expérimentées qui ont des besoins particuliers.
Manage API Tokens : créer des accès limités pour automatiser sans risque
Le module Manage API Tokens permet de générer des jetons d’accès qui donnent à un script ou à un prestataire la possibilité d’effectuer certaines actions dans le cPanel, sans jamais leur communiquer votre mot de passe principal. C’est une manière plus sûre de déléguer une tâche ou d’automatiser un processus, car chaque jeton ne possède que les permissions que vous avez choisies.
Concrètement, ces jetons servent par exemple à automatiser la création d’un sous-domaine à partir d’un script ou encore à permettre à un prestataire d’administrer uniquement vos bases de données sans toucher au reste de votre hébergement.
ModSecurity : le pare-feu qui bloque les attaques avant qu’elles n’atteignent le site
ModSecurity est un pare-feu applicatif (WAF) activé par défaut chez o2switch. Il analyse toutes les requêtes envoyées à votre site WordPress et les compare à un grand nombre de règles de sécurité issues notamment de l’OWASP. Lorsqu’une requête ressemble à une attaque, une injection SQL dans une extension ou une tentative d’exploitation de xmlrpc.php, ModSecurity renvoie un code 403 avant même que WordPress ne soit chargé, évitant ainsi toute exécution de code malveillant.
Il coupe immédiatement la requête. Il protège également contre les attaques massives de brute force sur xmlrpc.php. Il peut cependant arriver qu’une requête parfaitement légitime soit bloquée. Dans ces cas rares, il est possible de désactiver temporairement la règle en cause ou d’en demander l’ajustement au support technique.
L’authentification à deux facteurs (2FA)
La sécurité du cPanel est directement liée à celle de votre site WordPress. Si un pirate accède au cPanel, il peut modifier les fichiers du site, accéder à la base de données, détourner vos comptes FTP ou insérer un malware difficile à détecter. L’authentification à deux facteurs est donc une protection très utile. Pour mettre en place cette authentification, vous devrez installer une application sur votre smartphone. Ainsi, même si le mot de passe principal est compromis, un attaquant ne pourra pas se connecter sans le code temporaire généré sur votre téléphone.
Ce système est particulièrement recommandé lorsqu’un site est géré par plusieurs intervenants ou lorsqu’une agence assure l’hébergement pour un client.
ImunifyAV : détecter les infections WordPress et prévenir les attaques silencieuses
Votre site WordPress peut parfois être piraté de manière discrète : par exemple avec l’ajout d’un script malveillant dans le dossier uploads, l’insertion d’une redirection dans header.php, etc. ImunifyAV vous permet de scanner régulièrement votre hébergement et vous signale toute anomalie. Il sait reconnaître les signatures de nombreuses backdoors courantes, détecter les fichiers modifiés dans wp-content, ou encore repérer des scripts déguisés.
Ainsi ImunifyAV identifie ce type de comportement et alerte l’utilisateur.
La section Sécurité du cPanel d’o2switch offre donc un ensemble d’outils complets permettant de protéger WordPress à tous les niveaux. L’accès SSH et WP-CLI facilitent les interventions critiques ; le bloqueur d’IP crée une première barrière contre les attaques ; Let’s Encrypt assure le chiffrement des communications ; ModSecurity bloque les menaces avant même qu’elles n’atteignent WordPress ; SSL/TLS Status garantit la cohérence du HTTPS ; la double authentification protège l’accès au cPanel ; et ImunifyAV surveille l’intégrité du site.
Ces fonctionnalités, utilisées ensemble, forment une véritable architecture de défense en profondeur. Elles complètent les bonnes pratiques web de WordPress et permettent de sécuriser efficacement n’importe quel site, qu’il s’agisse d’un blog personnel, d’un site vitrine, d’un portail professionnel ou d’une boutique WooCommerce.
Bonjour,
Ces protections sont-elles complémentaires ou redondantes à celles apportées par un plugin de sécurité (SolidSecurity ou autre) ?
Bonjour Alex,
Merci pour votre message.
On va dire que ça dépend 🙂
Dans tous les cas, les deux peuvent en fait être complémentaires. Cependant, pour éviter les conflits, il est nécessaire de tester chaque sécurité activée indépendamment.
Merci pour cet article très complet, notamment sur la complémentarité entre la sécurité serveur et WordPress.
De mon côté, je constate aussi que les protections côté hébergement (ModSecurity, blocage IP, SSL, 2FA) jouent un rôle clé, car elles stoppent une grande partie des attaques avant même que WordPress ou un plugin de sécurité n’intervienne. Cela permet de réduire la charge côté site et d’éviter certains faux positifs.
Sur des sites professionnels, combiner une base solide au niveau du cPanel avec un plugin WordPress bien configuré reste, à mon sens, l’approche la plus fiable et la plus pérenne.
Merci pour ces explications très pédagogiques.