Imaginez deux minutes : vous tentez de vous connecter à votre site WordPress, un message d’erreur apparaît « Mot de passe invalide ». Vous êtes pourtant sûr de l’identifiant et du mot de passe. Mais rien à faire, impossible de se connecter. C’est bizarre la récupération par email du mot de passe ne fonctionne pas non plus. Vous commencez à comprendre ce qui se passe ? Oui, votre site a été piraté.

C’est le scénario catastrophe et la hantise de tous les propriétaires de site. Malheureusement, ça n’arrive pas qu’aux autres. Je sais de quoi je parle.

C’est pourquoi aujourd’hui, je vous livre mes conseils et les solutions que j’utilise pour sécuriser et protéger mon site WordPress des pirates.

1. Garder WordPress à jour


Installer la dernière version de WordPress

WordPress est une solution open-source qui fait l’objet de mises à jour régulières. Outre leur intérêt d’un point de vue fonctionnel, ces améliorations sont cruciales pour la sécurité de votre site WordPress mais vous devez autoriser manuellement leur installation.

À chaque fois que vous vous connectez à votre tableau de bord et que vous apercevez le message “Mise à jour de WordPress”, faîtes ce que Monsieur WordPress vous dit et installez la mise à jour.

Installer les dernières mises à jour de votre thème et des plugins

Si vous avez lu mon TOP 10 des plugins WordPress à installer absolument sur son blog, vous devriez avoir quelques extensions installées sur votre site. Ces outils bien pratiques sont aussi fréquemment mis à jour par leurs propriétaires afin d’être toujours compatibles avec les dernières versions de WordPress et de combler des failles de sécurité.

De nombreux blogs ont été piratés simplement parce que les dernières mises à jour de WordPress, du thème ou des plugins n’avaient pas été faites.

2. Supprimer les thèmes et extensions inutiles


Les extensions inutilisées = un carton d’invitation pour les hackers

Lorsque vous installez les dernières mises à jour, profitez-en pour faire un tri parmi toutes les extensions installées sur votre site. Est-ce que vous avez réellement besoin de tous ces plugins ?

Supprimer les plugins inutiles sécurise un site WordPress et améliore ses performances. Tout bénéf !

Important : simplement désactiver un plugin WordPress ne suffit pas. Activé ou désactivé, c’est la même chose pour les pirates : une porte d’entrée vers votre site. En plus, il y a peu de chances que vous mettiez à jour un plugin désactivé, donc supprimez-le !

Un seul thème WordPress suffit

Bon, ne me la faîtes pas. Combien vous avez de thèmes installés mais inactifs sur votre site là tout de suite ?

Oui, oui je sais « On ne sait jamais… », « Et si… », « Peut-être que… ». JE SAIS ! 🤓

Mais je sais aussi qu’on ne peut utiliser qu’un seul thème à la fois et que bien souvent, comme pour les plugins désactivés, on oublie de faire les mises à jour et on se retrouve avec des énormes failles de sécurité dans lesquelles s’infiltrent les pirates.

Allez, on supprime tous ces thèmes inutiles.

5 conseils pour protéger et sécuriser votre site WordPress 🔒Click to Tweet

3. Installer un plugin de sécurité


Pour protéger votre site WordPress, je vous recommande d’installer un plugin de sécurité.

Pour mon blog, j’utilise Wordfence Security : c’est une extension WordPress gratuite (freemium) qui permet de détecter les menaces et infections en scannant le code source et de limiter le nombre de tentatives de connexion (je vous en parle après).

Wordfence le plugin pour protéger et sécuriser son site WordPress
Wordfence le plugin pour protéger et sécuriser son site WordPress

 

4. Sécuriser la connexion à votre site WordPress


L’attaque par force brute est probablement la technique préférée des hackers et logiciels malveillants pour pirater un site WordPress. Concrètement, ils essayent des identifiants et mots de passe encore et encore jusqu’à ce qu’ils trouvent la bonne combinaison. C’est bête et méchant.

Voici cinq solutions que vous pouvez mettre en place dès maintenant pour protéger votre site WordPress d’une attaque par force brute.

a. Éviter d’utiliser Admin comme identifiant de connexion

La plupart des propriétaires de site WordPress utilisent “Admin” en nom d’utilisateur, car il s’agissait de l’identifiant par défaut proposé par WordPress lors de l’installation.

Les pirates le savent très bien et testent en priorité des combinaisons avec “Admin” comme identifiant. Si vous utilisez encore ce nom d’utilisateur, je vous conseille donc de le modifier dès maintenant.

b. Choisir un bon mot de passe et en changer régulièrement

Et si on compliquait la tâche des pirates en choisissant un mot de passe un peu moins facile que “123456” ? Privilégiez plutôt une suite aléatoire de lettres, chiffres et caractères spéciaux.

Pas d’inspiration ? Ne vous inquiétez pas, des générateurs de mots de passe s’en chargent pour vous et, en plus ils le font très bien. Comme le générateur de mots de passe Norton Identity Safe par exemple.

Changer régulièrement de mot de passe, idéalement tous les 3/6 mois.

c. Limiter le nombre de tentatives de connexion

Le principe de l’attaque par force brute est de ne pas arrêter les tentatives de connexion tant que la bonne combinaison “identifiant + mot de passe” n’a pas été trouvée.

Heureusement, il existe des plugins WordPress qui limitent le nombre de tentatives de connexion et bloquent les adresses IP suspectes pendant une certaine période de temps.

Comme je vous en parler plus haut, j’utilise l’extension gratuite Wordfence pour protéger mon blog personnel. En plus de scanner et détecter des menaces dans le code source de mon site, elle bloque les adresses IP qui tentent de se connecter à de trop nombreuses reprises.

Le plugin Wordfence bloque les adresses IP malicieuses pour protéger votre site WordPress des attaques par force brute.
Le plugin Wordfence bloque les adresses IP malicieuses pour protéger votre site WordPress des attaques par force brute.

Sinon, il y a Login Lockdown la seule raison d’être de ce plugin WordPress est de bloquer les brigands qui essaieraient de deviner votre mot de passe.

d. Activer l’identification en deux étapes

Bon, imaginons que malgré toutes les précautions que l’on vient de voir, un pirate parvient tout de même à mettre la main sur votre mot de passe. Dommage pour lui, vous avez activé la validation en deux étapes !

L’identification (ou validation) en deux étapes consiste à vérifier via une seconde étape l’identité de l’utilisateur. Cette deuxième vérification peut prendre plusieurs formes en fonction du plugin WordPress que vous utilisez : envoi d’un code de vérification par SMS, envoi d’une requête de connexion via une application ou envoi d’un code de vérification via une application.

Pour mon site, j’utilise l’extension gratuite Duo Two-Factor Authentication. Vous pouvez aussi jeter un coup d’œil du côté de Authy Two Factor Authentication et Google Authenticator, deux alternatives gratuites, régulièrement mises à jour et plutôt bien notées par la communauté WordPress.

Activer l'identification en deux étapes sur votre site WordPress avec le plugin Duo Two-Factor Authentication
Activer l’identification en deux étapes sur votre site WordPress avec le plugin Duo Two-Factor Authentication

e. Modifier l’URL de la page de connexion

Oui, vous pouvez aussi modifier l’URL de la page de connexion à votre blog.

Les hackers savent que la majorité des sites WordPress sont accessibles via l’adresse type www.votreblog.com/wp-admin. En modifiant l’adresse de votre page de connexion, vous augmentez la sécurité de votre site.

Pour cela, je vous conseille le plugin WPS Hide Login. Simple d’utilisation, il vous permet de changer rapidement l’url de votre page de connexion par celle de votre choix.

5. Faire des sauvegardes régulières


La mise en pratique de tous ces conseils devraient nettement réduire le risque que votre site soit piraté. Mais le risque 0 n’existe pas.

Voilà pourquoi je vous recommande de régulièrement faire des sauvegardes de la base de données et du contenu de votre site.

En cas de piratage ou de bug technique, vous pourrez restaurer votre blog en utilisant la dernière sauvegarde réalisée.

Dans mon TOP 10 des plugins WordPress à installer absolument sur son blog, je vous recommande le plugin Udraft Plus qui permet de programmer une sauvegarde régulière de votre site et de sa base de données.

6. Les plugins pour protéger son blog WordPress


Pour récapituler, j’ai listé ici les plugins WordPress que j’utilise pour sécuriser et protéger mon blog des attaques malveillantes.

  1. Wordfence pour protéger et sécuriser votre site
  2. Login Lockdown pour bloquer les tentatives de connexion suspectes
  3. Duo Two-Factor Authentication pour activer la validation en deux étapes
  4. WPS Hide Login pour modifier l’adresse de la page de connexion
  5. Udraft Plus pour créer des sauvegardes votre site

J’espère que cet article vous aura convaincu de l’importance de protéger son blog WordPress des pirates et logiciels malveillants. Comme d’habitude, si vous avez des remarques ou questions n’hésitez pas à m’en faire part en commentaire !

Tout ce qu'il faut savoir pour protéger son site WordPress : recommandations, astuces et plugins pour sécuriser votre blog contre des attaques malveillantes. Cliquez pour en savoir plus. #blogging #wordpress #securité