5 étapes pour protéger et sécuriser son blog WordPress

  1. Imagine deux minutes : tu tentes de te connecter à ton blog WordPress, un message d’erreur apparaît « Mot de passe invalide ». Tu es pourtant sûr.e de l’identifiant et du mot de passe. Mais rien à faire, impossible de se connecter. C’est bizarre, la récupération par email du mot de passe ne fonctionne pas non plus. Tu commences à comprendre ce qui se passe ? Ton site a été piraté.

C’est le scénario catastrophe et la hantise de tous les blogueurs. Crois-moi, ça n’arrive pas qu’aux autres… je sais de quoi je parle !

C’est pourquoi aujourd’hui, je te livre mes conseils et les solutions que j’utilise pour sécuriser et protéger mon site WordPress des pirates.


1. Garder WordPress à jour


Installer la dernière version de WordPress

WordPress est une solution open-source qui fait l’objet de mises à jour régulières. Outre leur intérêt d’un point de vue fonctionnel, ces améliorations sont cruciales pour la sécurité de ton blog WordPress, mais tu dois autoriser manuellement leur installation.

À chaque fois que tu te connectes à ton tableau de bord et que tu aperçois le message “Mise à jour de WordPress”, faîs ce que Monsieur ou Madame WordPress te dit et installe la mise à jour.

Installer les dernières mises à jour de ton thème et des plugins

Si tu as lu mon TOP 10 des plugins WordPress à installer absolument sur son blog, tu devrais déjà avoir quelques extensions installées sur ton site. Ces outils bien pratiques sont aussi fréquemment mis à jour par leurs propriétaires afin d’être toujours compatibles avec les dernières versions de WordPress et de combler des failles de sécurité.

De nombreux blogs ont été piratés simplement parce que les dernières mises à jour de WordPress, du thème ou des plugins n’avaient pas été faites.


2. Supprimer les thèmes et extensions inutiles


Les extensions inutilisées = un carton d’invitation pour les hackers

Lorsque tu installes les dernières mises à jour, profites-en pour faire un tri parmi toutes les extensions installées. Est-ce que tu as réellement besoin de tous ces plugins ?

Supprimer les plugins inutiles sécurise un site WordPress et améliore ses performances. Tout bénéf’ !

Important : simplement désactiver un plugin WordPress ne suffit pas. Activé ou désactivé, c’est la même chose pour les pirates : une porte d’entrée vers un site. En plus, il y a peu de chances que tu mettes à jour un plugin désactivé, donc supprime-le !

Un seul thème WordPress suffit

Bon, ne me la faîs pas. Combien tu as de thèmes installés mais inactifs sur ton site là tout de suite ?

Oui, oui je sais « On ne sait jamais… », « Et si… », « Peut-être que… ». JE SAIS ! 🤓

Mais je sais aussi qu’on ne peut utiliser qu’un seul thème à la fois et que bien souvent, comme pour les plugins désactivés, on oublie de faire les mises à jour et on se retrouve avec des énormes failles de sécurité dans lesquelles s’infiltrent les pirates.

Allez, on supprime tous ces thèmes inutiles.

5 conseils pour protéger et sécuriser votre site WordPress 🔒Click to Tweet


3. Installer un plugin de sécurité


Pour protéger votre site WordPress, je te recommande d’installer un plugin de sécurité.

Pour mon blog, j’utilise Wordfence Security : c’est une extension WordPress gratuite (freemium) qui permet de détecter les menaces et infections en scannant le code source et de limiter le nombre de tentatives de connexion (je t’en parle après).

Wordfence le plugin pour protéger et sécuriser son site WordPress
Wordfence le plugin pour protéger et sécuriser son site WordPress

4. Sécuriser la connexion à un site WordPress


L’attaque par force brute est probablement la technique préférée des hackers et logiciels malveillants pour pirater un site. Concrètement, ils essayent des identifiants et mots de passe encore et encore jusqu’à ce qu’ils trouvent la bonne combinaison. C’est bête et méchant.

Voici cinq solutions que tu peux mettre en place dès maintenant pour protéger ton blog WordPress d’une attaque par force brute.

a. Éviter d’utiliser Admin comme identifiant de connexion

La plupart des propriétaires de site WordPress utilisent “Admin” en nom d’utilisateur, car il s’agissait de l’identifiant par défaut proposé par WordPress lors de l’installation.

Les pirates le savent très bien et testent en priorité des combinaisons avec “Admin” comme identifiant. Si tu utilises encore ce nom d’utilisateur, je te conseille donc de le modifier dès maintenant.

b. Choisir un bon mot de passe et en changer régulièrement

Et si on compliquait la tâche des pirates en choisissant un mot de passe un peu moins facile que “123456” ? Privilégie plutôt une suite aléatoire de lettres, chiffres et caractères spéciaux.

Pas d’inspiration ? Pas de soucis, des générateurs de mots de passe s’en chargent pour nous et, en plus ils le font très bien. Comme le générateur de mots de passe Norton Identity Safe par exemple.

Il faut aussi changer régulièrement de mot de passe, idéalement tous les 3/6 mois.

c. Limiter le nombre de tentatives de connexion

Le principe de l’attaque par force brute est de ne pas arrêter les tentatives de connexion tant que la bonne combinaison “identifiant + mot de passe” n’a pas été trouvée.

Heureusement, il existe des plugins WordPress qui limitent le nombre de tentatives de connexion et bloquent les adresses IP suspectes pendant une certaine période de temps.

Comme j’en parlais plus haut, j’utilise l’extension gratuite Wordfence pour protéger mon blog. En plus de scanner et détecter des menaces dans le code source de mon site, elle bloque les adresses IP qui tentent de se connecter à de trop nombreuses reprises.

Le plugin Wordfence bloque les adresses IP malicieuses pour protéger votre site WordPress des attaques par force brute.
Le plugin Wordfence bloque les adresses IP malicieuses pour protéger votre site WordPress des attaques par force brute.

Sinon, il y a Login Lockdown la seule raison d’être de ce plugin WordPress est de bloquer les brigands qui essaieraient de deviner ton mot de passe.

d. Activer l’identification en deux étapes

Bon, imaginons que malgré toutes les précautions que l’on vient de voir, un pirate parvient tout de même à mettre la main sur ton mot de passe. Dommage pour lui, tu as activé la validation en deux étapes !

L’identification (ou validation) en deux étapes consiste à vérifier via une seconde étape l’identité de l’utilisateur. Cette deuxième vérification peut prendre plusieurs formes en fonction du plugin WordPress que tu utilises : envoi d’un code de vérification par SMS, envoi d’une requête de connexion via une application ou envoi d’un code de vérification via une application.

Pour mon site, j’utilise l’extension gratuite Duo Two-Factor Authentication. Tu peux aussi jeter un coup d’œil du côté de Authy Two Factor Authentication et Google Authenticator, deux alternatives gratuites elles aussi, régulièrement mises à jour et plutôt bien notées par la communauté WordPress.

Activer l'identification en deux étapes sur votre site WordPress avec le plugin Duo Two-Factor Authentication
Activer l’identification en deux étapes sur votre site WordPress avec le plugin Duo Two-Factor Authentication

e. Modifier l’URL de la page de connexion

Oui, tu peux également modifier l’URL de la page de connexion à ton blog.

Les hackers savent que la majorité des sites WordPress sont accessibles via l’adresse type www.votreblog.com/wp-admin. En modifiant l’adresse de la page de connexion, tu optimises la sécurité de votre site.

Pour cela, je conseille le plugin WPS Hide Login. Simple d’utilisation, il permet de changer rapidement l’url de la page de connexion par celle de ton choix.


5. Faire des sauvegardes régulières


La mise en pratique de tous ces conseils devraient nettement réduire le risque que ton site soit piraté. Mais le risque 0 n’existe pas.

Voilà pourquoi je recommande de régulièrement faire des sauvegardes de la base de données et du contenu de ton site.

En cas de piratage ou de bug technique, tu pourras restaurer ton blog en utilisant la dernière sauvegarde réalisée.

Dans mon TOP 10 des plugins WordPress à installer absolument sur son blog, je conseille le plugin Udraft Plus qui permet de programmer une sauvegarde régulière de ton site et de sa base de données.


6. Les plugins pour protéger son blog WordPress


Pour récapituler, j’ai listé ici les plugins WordPress que j’utilise pour sécuriser et protéger mon blog des attaques malveillantes.

  1. Wordfence pour protéger et sécuriser un site
  2. Login Lockdown pour bloquer les tentatives de connexion suspectes
  3. Duo Two-Factor Authentication pour activer la validation en deux étapes
  4. WPS Hide Login pour modifier l’adresse de la page de connexion
  5. Udraft Plus pour créer des sauvegardes votre site

J’espère que cet article t’aura convaincu.e de l’importance de protéger son blog WordPress des pirates et logiciels malveillants. Si tu as des remarques ou questions n’hésite pas à m’en faire part en commentaire !

Tout ce qu'il faut savoir pour protéger son site WordPress : recommandations, astuces et plugins pour sécuriser votre blog contre des attaques malveillantes. Cliquez pour en savoir plus. #blogging #wordpress #securité

Auteure : Julie Mirande

Bonjour, je suis Julie - créatrice de contenu digital et rédactrice web. Ici, je partage des réflexions engagées et bienveillantes pour s'organiser un quotidien doux et responsable, et des conseils de pro pour créer un blog. Bienvenue !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *