5 conseils pour sécuriser et protéger votre site WordPress

Communication digitale, Créer & gérer un site

Mon site WordPress est piraté ! Le mot de passe a été changé et impossible de se connecter à l’admin. Voici une situation déplaisante qui fait trembler beaucoup de blogueurs et web-entrepreneurs. Croyez-moi, ça n’arrive pas qu’aux autres…

Alors que faire pour anticiper ce scénario catastrophe et protéger son site du piratage ? Dans ce billet, je vous partage des solutions à mettre en place pour sécuriser son site WordPress et rendre la tâche très compliquée aux pirates.

Si cet article peut vous éviter de vivre la même expérience désagréable, j’en serais ravie ! 🙂

5 conseils pour protéger son site WordPress

1. Installer les mises à jour de WordPress

Des failles de sécurité sont fréquemment découvertes dans WordPress, puis corrigées dans les mises à jour. Outre leur intérêt d’un point de vue fonctionnel, ces améliorations sont donc cruciales pour la sécurité de votre site WordPress.

De nombreux blogs ont été piratés simplement parce que WordPress, le thème ou les plugins n’avaient pas été mis à jour. Ne faîtes pas la même erreur !

Connectez-vous régulièrement au back-office de votre site pour installer les dernières mises à jour de WordPress, de votre thème et des extensions que vous utilisez.

2. Supprimer les thèmes et extensions inutiles

a. Un seul thème WordPress suffit

Combien de thèmes sont actuellemment installés et inactifs sur votre site ? Il n’est pourtant possible d’activer qu’un seul thème à la fois. On est tous passé par là : on ne sait pas lequel choisir, on fait des tests mais et on les laisse installés « au cas où ».

Résultat : on se retrouve avec plus de thèmes que nécessaires dont on ne fait pas les mises à jour. Et, vous savez maintenant ce que ça veut dire : grosses failles de sécurité. Allez, on supprime tous ces thèmes inutiles si on ne veut pas que ce soit les portes ouvertes pour les pirates !

b. Faire le tri dans ces extensions

Avez-vous vraiment besoin de toutes ces extensions ? Supprimer les plugins inutiles permet de sécuriser un site WordPress tout en améliorant ses performances. Tout bénéf’ !

⚠️ Important à savoir : désactiver un plugin WordPress ne protège pas des pirates.
Qu’elle soit activée ou désactivée, une extension reste une porte d’entrée vers votre site pour les pirates. Si vous ne la mettez pas à jour, c’est une porte grande ouverte. Si vous la mettez à jour, c’est une porte fermée à clef. Mais à quoi bon prendre le risque si vous n’en avez pas besoin ? Si vous la supprimez, c’est un mur en béton !

3. Installer un plugin de sécurité

Quoi de mieux qu’un plugin de sécurité pour protéger son site WordPress ? Il en existe plusieurs : iThemes Security, All In One WP Security & Firewall, WP Antivirus Site Protection, Wordfence Security ou encore WP Cerber.

J’utilise cette dernière solution sur mon site. C’est une extension gratuite (freemium) qui permet de :

  • détecter les menaces et infections en scannant le code source
  • bloquer les demandes suspectes risquant d’endommager le site
  • bloquer les SPAMS
  • limiter le nombre de tentatives de connexion (👍🏻 j’en parle après)
  • personnaliser l’URL de connexion à WordPress (👍🏻 j’en parle après)
  • et d’autres fonctionnalités bien pratiques pour protéger son site.

4. Sécuriser la connexion à un site WordPress

L’attaque par force brute est probablement la technique préférée des hackers et logiciels malveillants pour pirater un site. Concrètement, ils essayent des identifiants et mots de passe encore et encore jusqu’à ce qu’ils trouvent la bonne combinaison. C’est bête et méchant.

Voici cinq solutions que vous pouvez mettre en place dès maintenant pour protéger votre site WordPress d’une attaque par force brute.

a. Éviter d’utiliser Admin comme identifiant de connexion

La plupart des propriétaires de site WordPress utilisent “Admin” comme nom d’utilisateur, car il s’agitde l’identifiant par défaut proposé par WordPress lors de l’installation. Les pirates le savent très bien et testent en priorité des combinaisons avec “Admin” comme identifiant.

Si vous utilisez encore ce nom d’utilisateur, je vous conseille donc de le modifier dès maintenant.

b. Choisir un bon mot de passe et en changer régulièrement

Et si on compliquait la tâche des pirates en choisissant un mot de passe un peu moins facile que “123456” ? On priviligie plutôt une suite aléatoire de lettres, chiffres et caractères spéciaux que l’on change régulièrement (tous les 3/6 mois).

Pas d’inspiration ? Pas de soucis, des générateurs de mots de passe s’en chargent pour nous et, en plus ils le font très bien. Comme le générateur de mots de passe Norton Identity Safe par exemple.

c. Limiter le nombre de tentatives de connexion

Le principe de l’attaque par force brute est de continuer les tentatives de connexion tant que la bonne combinaison “identifiant + mot de passe” n’a pas été trouvée. Cela porte plutôt bien son nom.

Heureusement, les meilleurs plugins de sécurité permettent de limiter le nombre de tentatives de connexion et de bloquer les adresses IP suspectes pendant une certaine période de temps.

Comme j’en parlais plus haut, j’utilise l’extension gratuite WP Cerber pour protéger mon site. En plus de scanner et détecter des menaces dans le code source de mon site, elle bloque les adresses IP qui tentent de se connecter à de trop nombreuses reprises.

Sinon, il existe Login Lockdown. La seule raison d’être de ce plugin WordPress est de bloquer les pirates qui essaieraient de deviner votre mot de passe.

d. Activer l’identification en deux étapes

Bon, imaginons que malgré toutes ces précautions, un pirate parvienne tout de même à mettre la main sur votre mot de passe. Dommage pour lui, vous avez activé la validation en deux étapes sur votre site !

L’identification (ou validation) en deux étapes consiste à vérifier via une seconde étape l’identité de l’utilisateur. Cette deuxième vérification peut prendre plusieurs formes en fonction du plugin que vous utilisez : envoi d’un code de vérification par SMS, envoi d’une requête de connexion via une application ou envoi d’un code de vérification via une application.

J’utilise l’extension gratuite Duo Two-Factor Authentication. Vous pouvez aussi jeter un coup d’œil du côté de Authy Two Factor Authentication et Google Authenticator, deux alternatives gratuites, régulièrement mises à jour et plutôt bien notées par la communauté WordPress.

e. Modifier l’URL de la page de connexion

Les pirates le savent bien : la plupart des sites WordPress sont accessibles via l’adresse type www.votreblog.com/wp-admin. Pour leur compliquer la tâcher et sécuriser son site, il suffit donc de modifier l’URL de connexion de WordPress.

Pour cela, je conseille le plugin WPS Hide Login. Simple d’utilisation, il permet de changer rapidement l’url de la page de connexion par celle de votre choix.

5. Sauvegarder régulièrement la base de données

La mise en pratique de tous ces conseils devraient nettement réduire le risque que votre site soit piraté. Mais le risque 0 n’existe pas. Voilà pourquoi je recommande de régulièrement faire des sauvegardes de la base de données et du contenu de votre site. En cas de piratage ou de bug technique, vous pourrez le restaurer en utilisant la dernière sauvegarde réalisée.

Dans ce TOP 10 des plugins WordPress à installer absolument sur son blog, je conseille le plugin Udraft Plus qui permet de programmer une sauvegarde régulière et automatique d’un site.

Photo par STIL sur Unsplash

📝 En résumé : les extensions pour protéger un site WordPress

Je récapitule ici les différentes extensions évoquées dans ce billet pour sécuriser un site WordPress :

Vous voilà maintenant avec quelques clés en main pour protéger votre site WordPress des pirates et attaques malveillantes. Si vous avez des questions, n’hésitez pas à les poser en commentaires !


Julie Mirande

Rédactrice web & créatrice de contenu, en constante recherche d'inspiration en espérant inspirer quelqu'un d'autre. Si cet article vous a plu ou si vous souhaitez me poser une question, n'hésitez pas à me laisser un petit message ! J'y répondrais avec plaisir.

Comments
  1. Mais de rien Coline !
    Si je peux partager mon expérience pour éviter à d’autres copains et copines blogueurs des déconvenues, c’est avec plaisir que je le fais 🙂
    Belle journée,
    Julie

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *