Sécuriser son site wordpress: 5 étapes simples et efficaces

Même si environ 30% des sites Internet dans le monde sont des sites WordPress, avoir un site WordPress ne constitue en rien une protection contre le hacking. Au contraire, c’est envoyer un signe aux hackers qu’ils peuvent venir attaquer. Les paramètres par défaut de WordPress laissent effectivement malheureusement la porte assez grande ouverte au hacking. Ce sont d’ailleurs à ces faiblesses, que je vous propose de remédier pour construire méthodiquement – en 5 étapes – une tactique de défense particulièrement efficace, qui vous aidera à significativement réduire le risque de piratage.

Ainsi, commençons dès à présent à mieux sécuriser votre site en changeant  votre identifiant wordpress admin, si vous ne l’avez pas encore déjà fait…

1 | Comment changer le nom de son identifiant admin pour mieux sécuriser son site WordPress?

Tous les propriétaires d’un site WordPress reçoivent à leur inscription, le même identifiant qui contient le mot admin, par défaut. Les hackers le savent comme tout le monde. Et ils utilisent naturellement cette information pour essayer de “craquer” votre site. Nous allons donc sur le champ changer l’identifiant admin pour un autre nom…

Pourtant, WordPress mentionne dans la rubrique “utilisateurs” que ce nom ne peut pas être changé… En fait, ce message est simplement un message de sécurité pour éviter qu’un utilisateur élimine le compte de l’administrateur du site par erreur – dans le cas où le site serait géré par de multiples utilisateurs.

En réalité, il est possible de changer l’identifiant admin, c’est « légal » et ce n’est pas très compliqué! Seul un administrateur du site est habilité à supprimer un autre administrateur. Il suffit donc de créer un 2ème administrateur – appelé dans cet exemple patron – qui va pouvoir supprimer l’administrateur courant admin. Je vous montre en quelques clics comment faire.

Dans la rubrique “utilisateurs” de la barre de commandes à gauche, vous allez ajouter un nouvel utilisateur et vous lui attribuez le nom de votre choix (dans notre exemple patron), un mot de passe et surtout les droits (le rôle) d’administrateur.

Votre site aura alors deux administrateurs: admin et patron. Vous vous déconnectez (puisque vous êtes actuellement connecté en tant qu’admin) et vous vous re-connectez avec l’identifiant de l’administrateur n°2, patron et son mot de passe.

Et là, vous verrez que vous pourrez éliminer le premier administrateur sans problème: autrement dit patron a la possibilité de supprimer l’utilisateur admin.

!!! Attention!!!  Surtout, avant de cliquer sur supprimer, n’oubliez pas de cocher la case qui permet de transférer toutes les pages dont le premier administrateur (admin) est auteur vers le nouvel administrateur patron, sans quoi, vous pourriez perdre toutes vos pages puisqu’elles ont toutes été créées jusqu’alors avec l’identifiant admin…

Vous voilà débarrassé de l’identifiant encombrant admin en un tour de main. Mais quel mot de passe lui avez-vous donné? Est-il suffisamment robuste pour lutter efficacement contre les attaques de piratage?

2 | Comment créer un mot de passe robuste pour éviter les intrusions des hackers?

Si vous décidez de choisir vous-même le mot de passe de votre compte administrateur, assurez-vous qu’il soit suffisamment robuste. Je vais éviter de répéter que choisir des dates de naissances, des noms de proches etc… ne constituent pas de bons mots de passe – par contre je vous donne ci-dessous la liste des critères pour créer un mot de passe tout ce qu’il y a de plus robuste:

Vous n’avez pas le temps ou pas envie de réfléchir à une combinaison si tordue, ne vous inquiétez pas, il existe des générateurs de mots de passe en ligne et gratuits, qui vous génèrent de bons mots de passe aléatoires, en un seul click. En voici deux que vous trouverez facilement sur Internet:

Deux outils générateurs de mots de passe aléatoires et robustes:

Password generator (interface simple mais en anglais) permet bien utilement, de discriminer les caractères spéciaux
https://passwordsgenerator.net

Générateur de mot de passe est en français
http://www.generateur-motdepasse.com

Des mots de passe ainsi constitués sont bien robustes mais de fait, pas très intuitifs et donc pas très faciles à se remémorer. Alors, pour éviter de se retrouver à la porte de la caverne d’Alibaba en train de chercher la formule magique peut-être que vous voudrez utiliser une application de sauvegarde de mots de passe. N’hésitez pas si c’est la manière dont vous vous organisez, car la difficulté de se remémorer le mot de passe ne doit pas être un obstacle ou une excuse pour ne pas suffisamment sécuriser votre site WordPress.

D’ailleurs, pensez à changer vos mots de passe régulièrement – par exemple une ou deux fois par an, ou après un quelconque incident qui pourrait nuire à la protection de votre site. Vous pouvez mettre un rappel dans votre calendrier pour ne pas oublier.

Alors que vous venez de renforcer la protection des codes d’accès à votre compte, les hackers peuvent malgré tout continuer à essayer d’entrer dans votre site, s’ils décidaient d’y passer tout simplement un peu plus de temps. Rassurez-vous, la prochaine étape de notre stratégie de défense va y remédier: limiter le nombre de tentatives de connexions malveillantes (appelé dans le jargon Brute Force), ce qui vous aidera à considérablement réduire les risques d’intrusions.

3 | Quel plugin utiliser pour limiter le nombre de tentatives d’intrusions à votre compte Wordpress (BruteForce)?

Malheureusement, par défaut sur WordPress, il n’y a pas de limite du nombre de tentatives de connexions à un compte sans succès. Un hacker qui essaye de craquer votre compte, peut essayer d’entrer autant de fois qu’il le veut et aussi longtemps qu’il en a besoin. Donc, malgré l’énergie que vous pouvez déployer à sécuriser votre site: le système par défaut, laisse le pirate libre de pouvoir s’acharner sans être dérangé.

Ça semble naturellement surréaliste mais il est possible de remédier à cette situation grâce à l’installation d’un simple plugin (il en existe plusieurs sur le marché) qui va limiter le nombre possible de tentatives infructueuses de connections successives (intrusions) à votre compte, et la fenêtre de temps pendant laquelle le hacker peut essayer.

ex: vous pouvez paramétrer qu’au 5ème essai, le visiteur soit bloqué et ne puisse plus ré-essayer de se connecter pendant par exemple 8H, en tous cas pas avec la même adresse IP.

Le plugin Wordfence qui est gratuit, est un de ces plugins. Il s’agit en fait, d’un “freemium” qui d’ailleurs offre bien plus que cette fonctionnalité en version gratuite: il permet d’installer aussi une protection de type une fire wall “autour” de votre site. Il existe bien sûr d’autres plugins similaires, mais celui-ci est l’un des plus populaires dans la “sphère” WordPress.

Puisque je parle de plugins, j’en profite aussi pour rappeler d’être très prudent avec tous les produits gratuits du type plugins et thèmes douteux, qui sont souvent des vecteurs de toute sorte de trojans ou malwares. Et si vous êtes utilisateurs de PC, n’oubliez pas non plus de bien maintenir à jour votre anti-virus, pour protéger votre ordinateur aussi, de possibles attaques.

À ce stade, l’accès à votre site est bien mieux verrouillé: vous avez de bons identifiant et mot de passe, et le nombre de tentatives d’intrusions dans votre site est limité. Bravo, mais il reste une importante zone de vulnérabilité des sites WordPress: l’adresse de la page de connexion…

4 | Pourquoi et comment changer (cacher) l’URL de la page de connexion à votre site Wordpress?

L’adresse de la page de connexion aux comptes WordPress est une porte d’entrée assez classique pour les pirates. En effet, tous les comptes WordPress reçoivent désastreusement la même adresse par défaut /wp-admin ou /wp-login.php pour se connecter. Et les hackers le savent. C’est donc une priorité pour sécuriser votre site que de s’en préoccuper sérieusement. 

L’URL de connexion à votre page d’accès, peut heureusement être modifiée (ou plutôt techniquement parlant cachée) en utilisant, l’un ou l’autre de ces plugins gratuits: “WPS hide login” (assez répandu dans la communauté WordPress et en Anglais) ou “Move Login” (qui a – autant que je sache – une interface en Français).

Pour changer cette URL, la procédure est assez simple, il vous suffit simplement de changer la fin de l’URL:
ex: votre page avait l’URL: patron.com/wp-admin
vous changez pour l’URL: patron.com/nepasrentrer

Après avoir fait ce changement, vous pourrez utiliser la nouvelle URL pour vous connecter à votre compte. L’autre URL ne sera plus valide, et le prochain hacker qui passera par là, trouvera une page d’erreur et re-partira les mains vides 🙂

Voilà, vous avez investi pas mal de ressources à développer un arsenal de protection pour sécuriser votre site WordPress et il est maintenant bien mieux protégé. Il serait dommage de ne pas maintenir un niveau de protection adapté au fil du temps, ce qui me conduit tout naturellement au 5ème point de cet article…

5 | Mieux sécuriser son site WordPress en procédant aux mises à jour et à la maintenance…

Cela va peut-être vous étonner mais la plupart du temps, en matière de piratage, nous scions nous-même la branche sur laquelle nous sommes assis: l’immense majorité des attaques réussissent grâce à une négligence humaine. Et, une faille humaine serait même à l’origine du succès de 90% des attaques, si l’on en croit le chiffre donné par le blog du hacker.

N’est-ce pas une bonne raison pour se motiver à faire la maintenance de son site régulièrement?

Et dans ce paragraphe, je vous livre un petit BONUS puisque ce n’est pas à proprement parlé un conseil pour sécuriser son site, mais c’est tout autant indispensable: faire régulièrement des sauvegardes de son site (back-up) pour éviter de tout perdre, en cas de problème. Vous pouvez automatiser cette tâche et je vous offre le tutoriel pour sauvegarder votre site gratuitement directement dans votre Google Drive (Dropbox ou autre cloud). Dans la vie comme sur Internet, mieux vaut prévenir que guérir… alors téléchargez-le avant d’avoir à rencontrer des problèmes.

En conclusion, à ce stade, votre site WordPress est maintenant bien mieux protégé contre d’éventuels piratages. Soyez sûr(e) que les pirates ne s’acharne que jusqu’é un certain point sur un site. S’ils voient que votre site n’est pas si facile à pirater, ils passeront leur chemin pour continuer vers d’autres sites plus vulnérables que le votre… En revanche, je vous conseille pour finir de sécuriser votre site de le passer en HTTPS si cela n’est pas encore fait. En fait, cela peut paraître impressionnant quand on est débutant, mais ne vous inquiétez pas, j’ai rédigé tout un tutoriel pour vous montrer pas-à-pas « comment activer le HTTPS de votre site WordPress« . Ce n’est pas compliqué et vous serez définitivement débarassé(e) des procédures de sécurisation de votre site web…

D’ailleurs dites-moi dans les commentaires, avez vous d’autres conseils simples pour protéger nos sites WordPress contre le hacking? ou avez-vous déjà eu à faire face à une attaque et comment avez-vous fait?

mise en ligne: février 2019

ARTICLES DE CETTE CATÉGORIE