5 étapes pour protéger et sécuriser votre site WordPress

Scénario catastrophe  : vous tentez de vous connecter à votre site WordPress, mais un message d’erreur apparaît « Mot de passe invalide ». Vous êtes pourtant sûr.e de l’identifiant et du mot de passe. Mais rien à faire, impossible de se connecter. C’est bizarre, la récupération par email du mot de passe ne fonctionne pas non plus. Vous commencez à comprendre ce qui se passe : votre site a été piraté.

Croyez-moi, ça n’arrive pas qu’aux autres…

C’est pourquoi aujourd’hui, je vous explique les solutions que j’ai mises en place pour sécuriser et protéger mon site WordPress des pirates.

1. Garder WordPress à jour

Installer la dernière version de WordPress

WordPress est une solution open-source qui fait l’objet de mises à jour régulières. Outre leur intérêt d’un point de vue fonctionnel, ces améliorations sont cruciales pour la sécurité de votre site WordPress, mais vous devez autoriser manuellement leur installation.

À chaque fois que vous vous connectez à votre tableau de bord et que vous apercevez le message “Mise à jour de WordPress”, faîtes ce que Monsieur ou Madame WordPress vous dit et installez la mise à jour.

Installer les dernières mises à jour de votre thème et des plugins

Si vous avez lu mon TOP 10 des plugins WordPress à installer absolument sur son blog, il devrait déjà avoir quelques extensions installées sur votre site. Ces outils bien pratiques sont aussi fréquemment mis à jour par leurs propriétaires afin d’être toujours compatibles avec les dernières versions de WordPress et de combler des failles de sécurité.

De nombreux blogs ont été piratés simplement parce que les dernières mises à jour de WordPress, du thème ou des plugins n’avaient pas été faites.

2. Supprimer les thèmes et extensions inutiles

Les extensions inutilisées = un carton d’invitation pour les hackers

Lorsque vous installez les dernières mises à jour, profitez-en pour faire un tri parmi toutes les extensions installées. Est-ce que vous avez réellement besoin de tous ces plugins ?

Supprimer les plugins inutiles sécurise un site WordPress et améliore ses performances. Tout bénéf’ !

Important : simplement désactiver un plugin WordPress ne suffit pas. Activé ou désactivé, c’est la même chose pour les pirates : une porte d’entrée vers un site. En plus, il y a peu de chances que vous mettiez à jour un plugin désactivé, il vaut mieux le supprimer tout de suite.

Un seul thème WordPress suffit

Bon, combien il y a-t-il de thèmes installés mais inactifs sur votre site là tout de suite ?

Oui, oui je sais « On ne sait jamais… », « Et si… », « Peut-être que… ». JE SAIS ! 🤓

Mais je sais aussi qu’on ne peut utiliser qu’un seul thème à la fois et que bien souvent, comme pour les plugins désactivés, on oublie de faire les mises à jour et on se retrouve avec des énormes failles de sécurité dans lesquelles s’infiltrent les pirates.

Allez, on supprime tous ces thèmes inutiles.

5 conseils pour protéger et sécuriser votre site WordPress 🔒Click to Tweet

3. Installer un plugin de sécurité

Pour protéger votre site WordPress, je recommande d’installer un plugin de sécurité.

Pour mon blog, j’utilise Wordfence Security : c’est une extension WordPress gratuite (freemium) qui permet de détecter les menaces et infections en scannant le code source et de limiter le nombre de tentatives de connexion (je vous en parle après).

Wordfence le plugin pour protéger et sécuriser son site WordPress
Wordfence le plugin pour protéger et sécuriser son site WordPress

4. Sécuriser la connexion à un site WordPress

L’attaque par force brute est probablement la technique préférée des hackers et logiciels malveillants pour pirater un site. Concrètement, ils essayent des identifiants et mots de passe encore et encore jusqu’à ce qu’ils trouvent la bonne combinaison. C’est bête et méchant.

Voici cinq solutions que vous pouvez mettre en place dès maintenant pour protéger votre site/blog WordPress d’une attaque par force brute.

a. Éviter d’utiliser Admin comme identifiant de connexion

La plupart des propriétaires de site WordPress utilisent “Admin” en nom d’utilisateur, car il s’agissait de l’identifiant par défaut proposé par WordPress lors de l’installation.

Les pirates le savent très bien et testent en priorité des combinaisons avec “Admin” comme identifiant. Si vous utilisez encore ce nom d’utilisateur, je vous conseille donc de le modifier dès maintenant.

b. Choisir un bon mot de passe et en changer régulièrement

Et si on compliquait la tâche des pirates en choisissant un mot de passe un peu moins facile que “123456” ? Privilégiez plutôt une suite aléatoire de lettres, chiffres et caractères spéciaux.

Pas d’inspiration ? Pas de soucis, des générateurs de mots de passe s’en chargent pour nous et, en plus ils le font très bien. Comme le générateur de mots de passe Norton Identity Safe par exemple.

Il faut aussi changer régulièrement de mot de passe, idéalement tous les 3/6 mois.

c. Limiter le nombre de tentatives de connexion

Le principe de l’attaque par force brute est de ne pas arrêter les tentatives de connexion tant que la bonne combinaison “identifiant + mot de passe” n’a pas été trouvée.

Heureusement, il existe des plugins WordPress qui limitent le nombre de tentatives de connexion et bloquent les adresses IP suspectes pendant une certaine période de temps.

Comme j’en parlais plus haut, j’utilise l’extension gratuite Wordfence pour protéger mon blog. En plus de scanner et détecter des menaces dans le code source de mon site, elle bloque les adresses IP qui tentent de se connecter à de trop nombreuses reprises.

Le plugin Wordfence bloque les adresses IP malicieuses pour protéger votre site WordPress des attaques par force brute.
Le plugin Wordfence bloque les adresses IP malicieuses pour protéger votre site WordPress des attaques par force brute.

Sinon, il y a Login Lockdown la seule raison d’être de ce plugin WordPress est de bloquer les brigands qui essaieraient de deviner ton mot de passe.

d. Activer l’identification en deux étapes

Bon, imaginons que malgré toutes les précautions que l’on vient de voir, un pirate parvient tout de même à mettre la main sur votre mot de passe. Dommage pour lui, vous avez activé la validation en deux étapes !

L’identification (ou validation) en deux étapes consiste à vérifier via une seconde étape l’identité de l’utilisateur. Cette deuxième vérification peut prendre plusieurs formes en fonction du plugin WordPress que vous utilisez : envoi d’un code de vérification par SMS, envoi d’une requête de connexion via une application ou envoi d’un code de vérification via une application.

Pour mon site, j’utilise l’extension gratuite Duo Two-Factor Authentication. Tu peux aussi jeter un coup d’œil du côté de Authy Two Factor Authentication et Google Authenticator, deux alternatives gratuites elles aussi, régulièrement mises à jour et plutôt bien notées par la communauté WordPress.

Activer l'identification en deux étapes sur votre site WordPress avec le plugin Duo Two-Factor Authentication
Activer l’identification en deux étapes sur votre site WordPress avec le plugin Duo Two-Factor Authentication

e. Modifier l’URL de la page de connexion

Oui, vous pouvez également modifier l’URL de la page de connexion à votre site.

Les hackers savent que la majorité des sites WordPress sont accessibles via l’adresse type www.votreblog.com/wp-admin. En modifiant l’adresse de la page de connexion, vous augmentez la sécurité de votre site.

Pour cela, je conseille le plugin WPS Hide Login. Simple d’utilisation, il permet de changer rapidement l’url de la page de connexion par celle de votre choix.

5. Faire des sauvegardes régulières

La mise en pratique de tous ces conseils devraient nettement réduire le risque que votre site soit piraté. Mais le risque 0 n’existe pas.

Voilà pourquoi je recommande de régulièrement faire des sauvegardes de la base de données et du contenu de votre site.

En cas de piratage ou de bug technique, vous pourrez le restaurer en utilisant la dernière sauvegarde réalisée.

Dans mon TOP 10 des plugins WordPress à installer absolument sur son blog, je conseille le plugin Udraft Plus qui permet de programmer une sauvegarde régulière d’un site et de sa base de données.

6. Les plugins pour protéger son blog/site WordPress

📝 Pour récapituler, voici les plugins WordPress que j’utilise pour sécuriser et protéger mon blog des attaques malveillantes :

  1. Wordfence pour protéger et sécuriser un site
  2. Login Lockdown pour bloquer les tentatives de connexion suspectes
  3. Duo Two-Factor Authentication pour activer la validation en deux étapes
  4. WPS Hide Login pour modifier l’adresse de la page de connexion
  5. Udraft Plus pour créer des sauvegardes votre site

J’espère que cet article vous aura convaincu.e de l’importance de protéger son site WordPress des pirates et logiciels malveillants. Si vous avez des remarques ou questions n’hésitez pas à m’en faire part en commentaire !

Auteure : Julie Mirande

Bonjour, je suis créatrice de contenu digital et convaincue que le numérique peut servir le bien commun et contribuer à changer le monde.Ici, je distille des ondes positives et bienveillantes pour apprendre à préserver la planète, construire un monde meilleur à son échelle et vivre en harmonie avec soi-même.

Leave a Comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

    • Mais de rien Coline !
      Si je peux partager mon expérience pour éviter à d’autres copains et copines blogueurs des déconvenues, c’est avec plaisir que je le fais 🙂
      Belle journée,
      Julie