5 étapes pour protéger et sécuriser votre site WordPress

Scénario catastrophe : vous tentez de vous connecter à votre site WordPress, mais un message d’erreur apparaît “Mot de passe invalide”. Vous êtes pourtant sûr·e de l’identifiant et du mot de passe. Mais rien à faire, impossible de se connecter. En même temps que des sueurs froides vous assaillent (on aime le ton mélodramatique), vous commencez à comprendre ce qui se passe : votre site a été piraté.

Croyez-moi, ça n’arrive pas qu’aux autres… C’est pourquoi aujourd’hui, je vous explique les solutions que j’ai mises en place pour sécuriser et protéger mon site WordPress contre le piratage. Si cet article peut vous éviter de vivre la même expérience déplaisante, j’en serais ravie ! 🙂

1. Garder WordPress à jour

Installer la dernière version de WordPress

WordPress est une solution open-source qui fait l’objet de mises à jour régulières. Outre leur intérêt d’un point de vue fonctionnel, ces améliorations sont cruciales pour la sécurité de votre site WordPress, mais vous devez autoriser manuellement leur installation.

À chaque fois que vous vous connectez à votre tableau de bord et que vous apercevez le message “Mise à jour de WordPress”, faîtes ce que Monsieur ou Madame WordPress vous dit et installez la mise à jour.

Installer les dernières mises à jour de votre thème et des plugins

Si vous avez lu mon TOP 10 des plugins WordPress à installer absolument sur son blog, il devrait déjà avoir quelques extensions installées sur votre site. Ces outils bien pratiques sont aussi fréquemment mis à jour par leurs propriétaires afin d’être toujours compatibles avec les dernières versions de WordPress et de combler des failles de sécurité.

De nombreux blogs ont été piratés simplement parce que les dernières mises à jour de WordPress, du thème ou des plugins n’avaient pas été faites.

2. Supprimer les thèmes et extensions inutiles

Les extensions inutilisées = un carton d’invitation pour les hackers

Lorsque vous installez les dernières mises à jour, profitez-en pour faire un tri parmi toutes les extensions installées. Est-ce que vous avez réellement besoin de tous ces plugins ? Supprimer les plugins inutiles sécurise un site WordPress et améliore ses performances. Tout bénéf’ !

⚠️ Important à savoir : simplement désactiver un plugin WordPress ne suffit pas. Activé ou désactivé, c’est la même chose pour les pirates : une porte d’entrée vers un site. En plus, il y a peu de chances que vous mettiez à jour un plugin désactivé, il vaut mieux le supprimer tout de suite.

Un seul thème WordPress suffit

Bon, combien il y a-t-il de thèmes installés mais inactifs sur votre site là tout de suite ? Oui, oui je sais « On ne sait jamais… », « Et si… », « Peut-être que… ».

On ne peut utiliser qu’un seul thème à la fois et on oublie bien souvent de faire les mises à jour et on se retrouve avec des énormes failles de sécurité. Allez, on supprime tous ces thèmes inutiles si on ne veut pas que ce soit les portes ouvertes pour les pirates !

3. Installer un plugin de sécurité

Quoi de mieux qu’un plugin de sécurité pour protéger son site WordPress ? Pour mon site, j’utilise Wordfence Security : c’est une extension WordPress gratuite (freemium) qui permet de détecter les menaces et infections en scannant le code source et de limiter le nombre de tentatives de connexion (je vous en parle après).

4. Sécuriser la connexion à un site WordPress

L’attaque par force brute est probablement la technique préférée des hackers et logiciels malveillants pour pirater un site. Concrètement, ils essayent des identifiants et mots de passe encore et encore jusqu’à ce qu’ils trouvent la bonne combinaison. C’est bête et méchant.

Voici cinq solutions que vous pouvez mettre en place dès maintenant pour protéger votre site WordPress d’une attaque par force brute.

a. Éviter d’utiliser Admin comme identifiant de connexion

La plupart des propriétaires de site WordPress utilisent “Admin” en nom d’utilisateur, car il s’agissait de l’identifiant par défaut proposé par WordPress lors de l’installation. Les pirates le savent très bien et testent en priorité des combinaisons avec “Admin” comme identifiant. Si vous utilisez encore ce nom d’utilisateur, je vous conseille donc de le modifier dès maintenant.

b. Choisir un bon mot de passe et en changer régulièrement

Et si on compliquait la tâche des pirates en choisissant un mot de passe un peu moins facile que “123456” ? On priviligie plutôt une suite aléatoire de lettres, chiffres et caractères spéciaux que l’on change régulièrement (tous les 3/6 mois).

Pas d’inspiration ? Pas de soucis, des générateurs de mots de passe s’en chargent pour nous et, en plus ils le font très bien. Comme le générateur de mots de passe Norton Identity Safe par exemple.

c. Limiter le nombre de tentatives de connexion

Le principe de l’attaque par force brute est de continuer les tentatives de connexion tant que la bonne combinaison “identifiant + mot de passe” n’a pas été trouvée. Cela porte plutôt bien son nom.

Heureusement, il existe des plugins WordPress qui permettent de limiter le nombre de tentatives de connexion et de bloquer les adresses IP suspectes pendant une certaine période de temps.

Comme j’en parlais plus haut, j’utilise l’extension gratuite Wordfence pour protéger mon site. En plus de scanner et détecter des menaces dans le code source de mon site, elle bloque les adresses IP qui tentent de se connecter à de trop nombreuses reprises.

Sinon, il y a Login Lockdown la seule raison d’être de ce plugin WordPress est de bloquer les brigands qui essaieraient de deviner ton mot de passe.

d. Activer l’identification en deux étapes

Bon, imaginons que malgré toutes ces précautions, un pirate parvient tout de même à mettre la main sur votre mot de passe. Dommage pour lui, vous avez activé la validation en deux étapes !

L’identification (ou validation) en deux étapes consiste à vérifier via une seconde étape l’identité de l’utilisateur. Cette deuxième vérification peut prendre plusieurs formes en fonction du plugin WordPress que vous utilisez : envoi d’un code de vérification par SMS, envoi d’une requête de connexion via une application ou envoi d’un code de vérification via une application.

J’utilise l’extension gratuite Duo Two-Factor Authentication. Vous pouvez aussi jeter un coup d’œil du côté de Authy Two Factor Authentication et Google Authenticator, deux alternatives gratuites, régulièrement mises à jour et plutôt bien notées par la communauté WordPress.

e. Modifier l’URL de la page de connexion

Oui, vous pouvez également modifier l’URL de la page de connexion à votre site. Les hackers savent que la majorité des sites WordPress sont accessibles via l’adresse type www.votreblog.com/wp-admin. En modifiant l’adresse de la page de connexion, vous optimisez la sécurité de votre site.

Pour cela, je conseille le plugin WPS Hide Login. Simple d’utilisation, il permet de changer rapidement l’url de la page de connexion par celle de votre choix.

5. Faire des sauvegardes régulières

La mise en pratique de tous ces conseils devraient nettement réduire le risque que votre site soit piraté. Mais le risque 0 n’existe pas. Voilà pourquoi je recommande de régulièrement faire des sauvegardes de la base de données et du contenu de votre site. En cas de piratage ou de bug technique, vous pourrez le restaurer en utilisant la dernière sauvegarde réalisée.

Dans ce TOP 10 des plugins WordPress à installer absolument sur son blog, je conseille le plugin Udraft Plus qui permet de programmer une sauvegarde régulière d’un site et de sa base de données.

6. Les plugins pour protéger un site WordPress

📝 Pour récapituler, voici les plugins WordPress que j’utilise pour sécuriser et protéger mon blog des attaques malveillantes :

  1. Wordfence pour protéger et sécuriser un site
  2. Login Lockdown pour bloquer les tentatives de connexion suspectes
  3. Duo Two-Factor Authentication pour activer la validation en deux étapes
  4. WPS Hide Login pour modifier l’adresse de la page de connexion
  5. Udraft Plus pour créer des sauvegardes votre site

Voilà, vous avez maintenant quelques clés en main pour protéger votre site WordPress des pirates et logiciels malveillants. Si vous avez des remarques ou questions n’hésitez pas à m’en faire part en commentaire !

Author: Julie

J'espère que cet article vous a plu ! N'hésitez pas à le partager sur Pinterest ❤️ et à me laisser un commentaire, j'y répondrai avec grand plaisir. Passez une belle journée ! ✨

Leave a Comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

    • Mais de rien Coline !
      Si je peux partager mon expérience pour éviter à d’autres copains et copines blogueurs des déconvenues, c’est avec plaisir que je le fais 🙂
      Belle journée,
      Julie