Article invité rédigé par Lauren Frayni !
Vous pourriez avoir travaillé dur pendant un an ou plus pour monter votre blog. Fondé votre autorité en dépensant nuits tardives et longues soirées. Et enfin vous êtes satisfait de boulot que vous avez fait, maintenant votre blog tire quelques centaines de visiteurs et des revenus décents.
Que faire si tout cela est parti en une fraction de seconde? Et vos deux années de travail acharné sont complètement gaspillées.
Cette situation peut arriver à n’importe quel administrateur de blog WordPress et à tout moment, ça peut être maintenant 🙂 , donc allez vérifier votre blog il se peut qu’il soit piraté.
La bonne nouvelle est que vous pouvez éviter tout cela, tout en appliquant certaines modifications et astuces faciles à mettre en place.
Le but de cet article est de vous fournir les informations nécessaires pour renforcer la sécurité de votre blog WordPress à 90%.
#1 : Installer la dernière version WordPress et mettre à jour les plugins
Il faut toujours garder WordPress à jour, cela signifie l’utilisation de la dernière version de WordPress, mais aussi la dernière version de votre thème et dernière version de plugins que vous utilisez. Tout simplement par ce que les mises à jour que vous effectuez vous servent à appliquer des corrections à des failles de sécurité trouvées dans les anciennes versions.
WordPress récupère les mises à jour automatiquement, et vous pouvez les installer avec un seul clic. Quand il y a une nouvelle mise à jour disponible, WordPress vous avertit avec un message qui apparaît sur le tableau de bord : « une nouvelle version WordPress est disponible! ». Il vous suffit de cliquer sur « mettre à jour » pour installer la dernière version. Pas d’excuses pour ne pas mettre à niveau. 🙂
Remarque : avant d’exécuter une mise à jour, il faut effectuer une sauvegarde complète de votre blog.
De la même façon, vous mettez à jour tous les plugins que vous avez installés, il faut noter qu’il est recommandé de ne pas télécharger les plug-ins à partir d’une source inconnue autre que l’annuaire officiel de WordPress.
#2 : Modifier le nom d’utilisateur par défaut
Il est plus difficile pour un pirate de pénétrer dans votre site lorsqu’il ne connaît pas le nom d’utilisateur. C’est pourquoi vous devez créer un nouvel utilisateur et supprimer l’utilisateur par défaut «admin». Ceci est l’une des choses que je fais dès que je lance un nouveau site sur WordPress. Les noms d’utilisateurs tels que “admin” sont la cible la plus fréquente de ces attaques.
Pour créer un utilisateur, vous allez dans “utilisateurs” puis “ajouter” dans le menu WordPress. Lors de la création du nouvel utilisateur, assurez-vous de lui donner le rôle d’un «administrateur». Cela vous assure que vous avez l’autorité totale sur votre blog.
Maintenant, il ne vous reste que supprimer l’utilisateur admin. Assurez-vous de choisir l’option de transférer vos anciens messages à votre nouveau compte d’utilisateur lors de la suppression du compte “admin”.
#3 : Limiter le nombre d’identifications
Par défaut, le processus de connexion à l’interface de gestion de blog WordPress permet à tout utilisateur d’essayer autant de fois qu’ils le veulent jusqu’à ce qu’ils trouvent une combinaison nom utilisateur et mot de passe valide.
N’importe qui (il peut être votre concurrent) peut tenter d’accéder à votre blog WordPress. Il pourrait simplement exécuter un script qui teste plus de 1000 mots de passe à plusieurs reprises dans une tentative de trouver un match.
Pour éviter d’être une victime d’une attaque force brute, il faut limiter le nombre d’identifications pour se connecter à votre blog. Vous pouvez le faire facilement en utilisant un plug-in comme «Connexion LockDown», qui permet de désactiver la connexion s’il détecte plus d’un certain nombre de tentatives dans un court intervalle de temps à partir de la même plage d’adresses IP.
#4 : Supprimer les plugins non utilisés
Soyez prudents quant à l’installation de plugins et surtout supprimez les plugins que vous n’utilisez plus. Les plugins de mauvaise qualité peuvent avoir des codes à travers lesquels d’autres codes ou des requêtes SQL peuvent être injectés. Le risque c’est de voir votre site endommagé.
Les pirates aussi peuvent exploiter les failles de sécurité de certains plugins pour attaquer votre blog. Il est donc conseillé de minimiser le nombre des plugins installé.
#5 : Mettre en place une authentification en deux étapes
Il se peut que vous vous connectiez à votre blog WordPress lorsque vous êtes sur un réseau wifi public, ou sur le wifi de votre famille. Vous ne savez jamais qui d’autre peut enregistrer tout le trafic qui se déroule sur le réseau wifi.
Une des techniques avancées de sécurisation de compte utilisée pour se connecter à un site web est : l’authentification en deux étapes. Il s’agit d’une demande de deux formes différentes pour prouver que l’utilisateur est le propriétaire du compte.
Vous pouvez mettre en place un système d’authentification comme Google Authenticator pour générer les deux étapes d’authentification (la validation en deux étapes par SMS ou messagerie vocale).
#6 : Protéger le fichier wp-config.php
Toutes les informations confidentielles de votre blog sont stockées dans le fichier wp-config.php dans le répertoire WordPress principal. Les clés secrètes sont des bits d’informations stockées dans ce fichier.
Il est donc très important de le protéger correctement. Un moyen facile de protéger ce fichier est de placer le code suivant dans votre fichier .htaccess sur votre serveur.
<Fichiers wp-config.php>
Afin allow, deny
deny from all
</ Files>
#7 : vérifiez la sécurité de la station de travail
Assurez-vous toujours que tous les PC que vous utilisez pour vous connecter à votre interface d’administration WordPress sont correctement sécurisés. Assurez-vous aussi que vous utilisez la version la plus récente de navigateur web. Faites de même avec votre logiciel antivirus et le système d’exploitation.
Numérisez votre ordinateur pour les logiciels malveillants, souvent. Assurez-vous que vous avez un pare-feu efficace installé au niveau du système d’exploitation.
J’espère que ces techniques vont vous aider à protéger votre site WordPress. Je viendrai avec d’autres conseils de sécurité à l’avenir.
Avez-vous d’autres conseils de sécurité efficace à partager ? Faites-nous savoir une astuce qui vous suivez pour garder votre site WordPress en sécurité?
Passionnée par le référencement naturel et la rédaction web ! Blogueuse depuis 2012 ! Coauteur du livre “Techniques de référencement web” et “Stratégie de contenu e-commerce”.
Découvrez mes “Prestations SEO” et contactez-moi pour échanger sur votre projet SEO.
Merci pour ce billet. C’est toujours bon de le rappeler.
J’ajouterai à ça : Changer les préfixes de WordPress. Ca ne mange pas de pain et ça peut éviter pas mal d’attaques, et en ralentir d’autres.
Et supprimer le readme.html et les meta generator qui affichent la version de WordPress. L’idée étant de ne pas mâcher le travail des hackers.
PS : Petite coquille dans le titre du billet (“basse” au lieu de “base”).
Bon article mais mes yeux saignent en lisant conseils de “basse”…
Petite coquille dans le titre non ? Ne serait-ce pas “base” ?
Très bon sujet merci mais attention à l’orthographe dans le titre ça pète aux yeux MissSeo ; )
Merci à tous pour votre attention ! En effet, petite coquille dans le titre, j’ai corrigé ça 🙂 Désolée !
Bonjour Alexandra,
J’ajouterai également sécuriser le dossier wp-content/uploads avec un fichier .htaccess afin qu’aucun fichier .php ne puisse y être introduit et surtout changer l’adresse de connexion (voir le tuto en lien ci-dessous).
Amicalement,
Bruno
Bruno Articles récents..Modifier l’adresse de connexion WordPress pour le sécuriser
Rien de neuf sur le soleil mais ça reste le B.A.-BA
Vous oubliez pas mal de trucs :
– la modification de l’url de la page admin
– l’installation de plugin de sécurité de type Wordfence qui envoie un mail à chaque connexion + d’autres bricoles
– la suppression de readme.html qui contient la version WP
– le renforcement du htaccess..
– etc, etc…
…sous le soleil… évidemment sinon ça crame les pieds !
Une bonne piqure de rappel face au nombre de sites qui tournent sous WordPress et qui se font hacker chaque jour ! Inutile donc de bricoler, il n’y a qu’à suivre le tuto 😉
Merci encore pour cet article qui rappelle des informations essentielles. En matière de sécurité mieux vaut prévenir que guérir car le piratage d’un site peut faire perdre beaucoup d’argent de demander beaucoup de temps pour que la situation revienne à la normale.
Merci pour ces précieux conseils. On croit parfois perdre du temps à prendre certaines mesures de sécurité, mais on est ensuite bien content de les avoir mises en place et d’avoir un système fiable. A l’inverse, lorsque l’on ne se donne pas la peine de sécuriser son site ou sa connexion on s’en mord ensuite les doigts le jour où l’on est victime d’un piratage.