Sécuriser son site wordpress: 5 étapes simples et efficaces

Seriez-vous victime d’un piratage sans le savoir? Il est très facile de jouer avec la peur lorsqu’il s’agit de la sécurité de son site web. En fait, mieux vaut sécuriser son site WordPress pendant qu’il en est encore temps – ou idéalement dès la création de son site web – que de vivre dans la crainte d’une attaque de hackers, surtout lorsque des solutions gratuites et efficaces peuvent être mises en place assez simplement.

Même si environ 30% des sites Internet dans le monde sont des sites WordPress, avoir un site WordPress ne constitue en rien une protection contre le hacking. Au contraire, c’est envoyer un signe aux hackers qu’ils peuvent venir attaquer. Les paramètres par défaut de WordPress laissent effectivement malheureusement la porte assez grande ouverte au hacking. Ce sont d’ailleurs à ces faiblesses, que je vous propose de remédier pour construire méthodiquement – en 5 étapes – une tactique de défense particulièrement efficace, qui vous aidera à significativement réduire le risque de piratage.

Ainsi, commençons dès à présent à mieux sécuriser votre site en changeant  votre identifiant wordpress admin, si vous ne l’avez pas encore déjà fait…

1 | Comment changer le nom de son identifiant admin pour mieux sécuriser son site WordPress?

Tous les propriétaires d’un site WordPress reçoivent à leur inscription, le même identifiant qui contient le mot admin, par défaut. Les hackers le savent comme tout le monde. Et ils utilisent naturellement cette information pour essayer de “craquer” votre site. Nous allons donc sur le champ changer l’identifiant admin pour un autre nom…

Pourtant, WordPress mentionne dans la rubrique “utilisateurs” que ce nom ne peut pas être changé… En fait, ce message est simplement un message de sécurité pour éviter qu’un utilisateur élimine le compte de l’administrateur du site par erreur – dans le cas où le site serait géré par de multiples utilisateurs.

En réalité, il est possible de changer l’identifiant admin, c’est « légal » et ce n’est pas très compliqué! Seul un administrateur du site est habilité à supprimer un autre administrateur. Il suffit donc de créer un 2ème administrateur – appelé dans cet exemple patron – qui va pouvoir supprimer l’administrateur courant admin. Je vous montre en quelques clics comment faire.

Dans la rubrique “utilisateurs” de la barre de commandes à gauche, vous allez ajouter un nouvel utilisateur et vous lui attribuez le nom de votre choix (dans notre exemple patron), un mot de passe et surtout les droits (le rôle) d’administrateur.

Votre site aura alors deux administrateurs: admin et patron. Vous vous déconnectez (puisque vous êtes actuellement connecté en tant qu’admin) et vous vous re-connectez avec l’identifiant de l’administrateur n°2, patron et son mot de passe.

Et là, vous verrez que vous pourrez éliminer le premier administrateur sans problème: autrement dit patron a la possibilité de supprimer l’utilisateur admin.

!!! Attention!!!  Surtout, avant de cliquer sur supprimer, n’oubliez pas de cocher la case qui permet de transférer toutes les pages dont le premier administrateur (admin) est auteur vers le nouvel administrateur patron, sans quoi, vous pourriez perdre toutes vos pages puisqu’elles ont toutes été créées jusqu’alors avec l’identifiant admin

Vous voilà débarrassé de l’identifiant encombrant admin en un tour de main. Mais quel mot de passe lui avez-vous donné? Est-il suffisamment robuste pour lutter efficacement contre les attaques de piratage?

BONUS: Téléchargez le tutoriel gratuit

« Sauvegarder votre site WordPress directement dans votre Google Drive (Dropbox ou autre cloud) »

2 | Comment créer un mot de passe robuste pour éviter les intrusions des hackers?

Si vous décidez de choisir vous-même le mot de passe de votre compte administrateur, assurez-vous qu’il soit suffisamment robuste. Je vais éviter de répéter que choisir des dates de naissances, des noms de proches etc… ne constituent pas de bons mots de passe – par contre je vous donne ci-dessous la liste des critères pour créer un mot de passe tout ce qu’il y a de plus robuste:

Z

le mot de passe doit toujours être unique: donc pour chaque nouveau compte, on crée un nouveau mot de passe…

Z

le nombre de caractères doit au moins être compris entre 12 et 20 caractères pour conférer suffisamment de robustesse – sachant que plus le mot de passe est long et moins il est vulnérable

Z

les lettres du mot de passe doivent alterner des caractères en majuscules et en minuscules

Z

le mot de passe inclut au moins un ou mieux plusieurs caractères spéciaux @%&!.$ etc… pour mieux sécuriser le site 

Z

un ou plusieurs chiffres doivent être intégrés, avec des séquences aléatoires / qui ne peuvent pas être prédites par la logique ou le calcul
ex: cta3aPx4wqY5$     ct3aPAty9)xgG15as  sont des séquences de chiffres prédictives par un bot

Z
tous les types de caractères lettres, chiffres, caractères spéciaux sont répartis alternativement et aléatoirement dans le mot de passe:
ex: éviter sgbQwK4718@$^!     préférer s7gb^1Q@4$w8K7!

Vous n’avez pas le temps ou pas envie de réfléchir à une combinaison si tordue, ne vous inquiétez pas, il existe des générateurs de mots de passe en ligne et gratuits, qui vous génèrent de bons mots de passe aléatoires, en un seul click. En voici deux que vous trouverez facilement sur Internet:

Deux outils générateurs de mots de passe aléatoires et robustes:

Password generator (interface simple mais en anglais) permet bien utilement, de discriminer les caractères spéciaux
https://passwordsgenerator.net

Générateur de mot de passe est en français
http://www.generateur-motdepasse.com

Des mots de passe ainsi constitués sont bien robustes mais de fait, pas très intuitifs et donc pas très faciles à se remémorer. Alors, pour éviter de se retrouver à la porte de la caverne d’Alibaba en train de chercher la formule magique peut-être que vous voudrez utiliser une application de sauvegarde de mots de passe. N’hésitez pas si c’est la manière dont vous vous organisez, car la difficulté de se remémorer le mot de passe ne doit pas être un obstacle ou une excuse pour ne pas suffisamment sécuriser votre site WordPress.

D’ailleurs, pensez à changer vos mots de passe régulièrement – par exemple une ou deux fois par an, ou après un quelconque incident qui pourrait nuire à la protection de votre site. Vous pouvez mettre un rappel dans votre calendrier pour ne pas oublier.

Alors que vous venez de renforcer la protection des codes d’accès à votre compte, les hackers peuvent malgré tout continuer à essayer d’entrer dans votre site, s’ils décidaient d’y passer tout simplement un peu plus de temps. Rassurez-vous, la prochaine étape de notre stratégie de défense va y remédier: limiter le nombre de tentatives de connexions malveillantes (appelé dans le jargon Brute Force), ce qui vous aidera à considérablement réduire les risques d’intrusions.

3 | Quel plugin utiliser pour limiter le nombre de tentatives d’intrusions à votre compte Wordpress (BruteForce)?

Malheureusement, par défaut sur WordPress, il n’y a pas de limite du nombre de tentatives de connexions à un compte sans succès. Un hacker qui essaye de craquer votre compte, peut essayer d’entrer autant de fois qu’il le veut et aussi longtemps qu’il en a besoin. Donc, malgré l’énergie que vous pouvez déployer à sécuriser votre site: le système par défaut, laisse le pirate libre de pouvoir s’acharner sans être dérangé.

Ça semble naturellement surréaliste mais il est possible de remédier à cette situation grâce à l’installation d’un simple plugin (il en existe plusieurs sur le marché) qui va limiter le nombre possible de tentatives infructueuses de connections successives (intrusions) à votre compte, et la fenêtre de temps pendant laquelle le hacker peut essayer.

ex: vous pouvez paramétrer qu’au 5ème essai, le visiteur soit bloqué et ne puisse plus ré-essayer de se connecter pendant par exemple 8H, en tous cas pas avec la même adresse IP.

Le plugin Wordfence qui est gratuit, est un de ces plugins. Il s’agit en fait, d’un “freemium” qui d’ailleurs offre bien plus que cette fonctionnalité en version gratuite: il permet d’installer aussi une protection de type une fire wall “autour” de votre site. Il existe bien sûr d’autres plugins similaires, mais celui-ci est l’un des plus populaires dans la “sphère” WordPress.

Puisque je parle de plugins, j’en profite aussi pour rappeler d’être très prudent avec tous les produits gratuits du type plugins et thèmes douteux, qui sont souvent des vecteurs de toute sorte de trojans ou malwares. Et si vous êtes utilisateurs de PC, n’oubliez pas non plus de bien maintenir à jour votre anti-virus, pour protéger votre ordinateur aussi, de possibles attaques.

À ce stade, l’accès à votre site est bien mieux verrouillé: vous avez de bons identifiant et mot de passe, et le nombre de tentatives d’intrusions dans votre site est limité. Bravo, mais il reste une importante zone de vulnérabilité des sites WordPress: l’adresse de la page de connexion…

4 | Pourquoi et comment changer (cacher) l’URL de la page de connexion à votre site Wordpress?

L’adresse de la page de connexion aux comptes WordPress est une porte d’entrée assez classique pour les pirates. En effet, tous les comptes WordPress reçoivent désastreusement la même adresse par défaut /wp-admin ou /wp-login.php pour se connecter. Et les hackers le savent. C’est donc une priorité pour sécuriser votre site que de s’en préoccuper sérieusement. 

L’URL de connexion à votre page d’accès, peut heureusement être modifiée (ou plutôt techniquement parlant cachée) en utilisant, l’un ou l’autre de ces plugins gratuits: “WPS hide login” (assez répandu dans la communauté WordPress et en Anglais) ou “Move Login” (qui a – autant que je sache – une interface en Français).

Pour changer cette URL, la procédure est assez simple, il vous suffit simplement de changer la fin de l’URL:
ex: votre page avait l’URL: patron.com/wp-admin
vous changez pour l’URL: patron.com/nepasrentrer

Après avoir fait ce changement, vous pourrez utiliser la nouvelle URL pour vous connecter à votre compte. L’autre URL ne sera plus valide, et le prochain hacker qui passera par là, trouvera une page d’erreur et re-partira les mains vides 🙂

Voilà, vous avez investi pas mal de ressources à développer un arsenal de protection pour sécuriser votre site WordPress et il est maintenant bien mieux protégé. Il serait dommage de ne pas maintenir un niveau de protection adapté au fil du temps, ce qui me conduit tout naturellement au 5ème point de cet article…

5 | Mieux sécuriser son site WordPress en procédant aux mises à jour et à la maintenance…

Cela va peut-être vous étonner mais la plupart du temps, en matière de piratage, nous scions nous-même la branche sur laquelle nous sommes assis: l’immense majorité des attaques réussissent grâce à une négligence humaine. Et, une faille humaine serait même à l’origine du succès de 90% des attaques, si l’on en croit le chiffre donné par le blog du hacker.

N’est-ce pas une bonne raison pour se motiver à faire la maintenance de son site régulièrement?

Z

changer son mot de passe régulièrement: 1 à 2 fois par an est recommandable, comme nous l’avons vu dans le 3ème paragraphe

Z

faire les mises à jour de WordPress, de son thème et de ses plugins, sans attendre lorsqu’elles sont recommandées, est un « must »…

Et dans ce paragraphe, je vous livre un petit BONUS puisque ce n’est pas à proprement parlé un conseil pour sécuriser son site, mais c’est tout autant indispensable: faire régulièrement des sauvegardes de son site (back-up) pour éviter de tout perdre, en cas de problème. Vous pouvez automatiser cette tâche et je vous offre le tutoriel pour sauvegarder votre site gratuitement directement dans votre Google Drive (Dropbox ou autre cloud). Dans la vie comme sur Internet, mieux vaut prévenir que guérir… alors téléchargez-le avant d’avoir à rencontrer des problèmes.

BONUS: Téléchargez le tutoriel gratuit

« Sauvegarder votre site WordPress directement dans votre Google Drive (Dropbox ou autre cloud) »

En conclusion, à ce stade, votre site WordPress est maintenant bien mieux protégé contre d’éventuels piratages. Soyez sûr(e) que les pirates ne s’acharne que jusqu’é un certain point sur un site. S’ils voient que votre site n’est pas si facile à pirater, ils passeront leur chemin pour continuer vers d’autres sites plus vulnérables que le votre… En revanche, je vous conseille pour finir de sécuriser votre site de le passer en HTTPS si cela n’est pas encore fait. En fait, cela peut paraître impressionnant quand on est débutant, mais ne vous inquiétez pas, j’ai rédigé tout un tutoriel pour vous montrer pas-à-pas « comment activer le HTTPS de votre site WordPress« . Ce n’est pas compliqué et vous serez définitivement débarassé(e) des procédures de sécurisation de votre site web…

D’ailleurs dites-moi dans les commentaires, avez vous d’autres conseils simples pour protéger nos sites WordPress contre le hacking? ou avez-vous déjà eu à faire face à une attaque et comment avez-vous fait?

mise en ligne: février 2019

ARTICLES DE CETTE CATÉGORIE

Éliminer 3 distractions de votre site pour améliorer votre taux de conversion (et de rebond)
Lire plus…

Guide ultime | écrire une page « à propos » qui fasse revenir vos visiteurs
Lire plus…

Améliorer la lisibilité de ses articles de blog en 3 étapes…
Lire plus…

Entrez votre email pour recevoir gratuitement le guide "Trouver un nom de blog idéal"

Vous recevrez directement et immédiatement le guide sous format PDF dans votre boîte email.

Merci! Votre demande a bien été envoyée et vous allez recevoir un email dans un instant.

Entrez votre email pour accéder au contenu exclusif: "Générer des visites immédiatement et durablement sur votre site"

Merci, votre demande a bien été envoyée. Vous allez recevoir un email dans un instant, avec les informations pour accéder au contenu exclusif. Ne vous inquiétez pas, la procédure est aussi simple que de cliquer sur un lien... :)

DIGITAL TWISP | sauvegarder son site wordpress

Cliquez pour accéder au tutoriel gratuit:

"Comment faire une sauvegarde automatique de son site Wordpress dans Google Drive (Dropbox, etc...)"

Merci ! Votre demande a bien été envoyée. Vous allez recevoir un email dans un instant.

Cliquez pour accéder au guide gratuit:

"Comment bien choisir sa palette de couleurs pour un site web réussi..."

> astuces pour bien choisir la couleur de base de sa palette
> comment concevoir une palette cohésive pour son site
> un exemple pratique de la conception d'une palette de couleurs pour une site pro

Merci ! Votre demande a bien été envoyée. Vous allez recevoir un email dans un instant.

Cliquez pour recevoir tous les conseils et articles en avant-première:

Productivité. Organisation. Lifestyle.
Donner le meilleur de vous-même sans ruiner votre santé

Un grand Merci ! Votre demande a bien été envoyée. Vous allez recevoir un email dans un instant.

Entrez votre email et recevez gratuitement le guide "Trouver un nom de blog idéal"

Vous recevrez directement et immédiatement le guide sous format PDF dans votre boîte email.

Merci! Votre demande a bien été envoyée et vous allez recevoir un email dans un instant.

trouver le nom de blog idéal | GUIDE COMPLET

Entrez votre email et recevez gratuitement le guide "Trouver un nom de blog idéal"

> nombreuses techniques créatives pour vous inspirer
> la liste des critères pour trouver un nom de blog que vous ne regrettez pas
> des outils performants pour vous aidez à trouver le nom de domaine unique dont vous avez besoin
> des conseils pour bien choisir votre extension de nom de domaine

>> Vous allez directement et immédiatement recevoir ce guide sous format PDF dans votre boîte email.

Merci! Votre demande a bien été envoyée et vous allez recevoir un email dans un instant.

Entrez votre email et recevez gratuitement le guide "Trouver un nom de blog idéal"

Vous recevrez directement et immédiatement le guide sous format PDF dans votre boîte email.

Merci! Votre demande a bien été envoyée et vous allez recevoir un email dans un instant.

Cliquez pour accéder au guide gratuit:

"Comment bien choisir sa palette de couleurs pour un site web réussi..."

> astuces pour bien choisir la couleur de base de sa palette
> comment concevoir une palette cohésive pour son site
> un exemple pratique de la conception d'une palette de couleurs pour une site pro

Merci ! Votre demande a bien été envoyée. Vous allez recevoir un email dans un instant.

Entrez votre email pour accéder au contenu exclusif: "Générer des visites immédiatement et durablement sur votre site"

Merci, votre demande a bien été envoyée. Vous allez recevoir un email dans un instant, avec les informations pour accéder au contenu exclusif. Ne vous inquiétez pas, c'est très simple.

DIGITAL TWISP | sauvegarder son site wordpress

Cliquez pour accéder au tutoriel gratuit:

"Comment faire une sauvegarde automatique de son site Wordpress dans Google Drive (Dropbox, etc...)"

Merci ! Votre demande a bien été envoyée. Vous allez recevoir un email dans un instant.

Liste de 53 sites d'images gratuites à usage commercial

Cliquez pour télécharger le fichier PDF:

"Liste de 53 sites d'images gratuites à usage commercial !!"

>> Vous y trouverez des images dans à peu près tous les domaines: business, lifestyle, santé, sport, cuisine, voyage, famille, animaux etc…

Merci ! Votre demande a bien été envoyée. Vous allez recevoir un email dans un instant.

Cliquez pour recevoir votre checkliste au format PDF:

"9 points-clés SEO à vérifier avant de publier pour bien optimiser vos articles"

Merci ! Votre demande a bien été envoyée. Vous allez recevoir un email dans un instant.

Cliquez pour recevoir votre web-magazine:

LES "EXCLUSIVES"

>> Vous allez tout de suite recevoir un email de confirmation avec l'un des précédents numéros du web-magazine - qui contient un bonus, petite surprise de bienvenue, qui sans aucun doute va vous faire plaisir…

Puis vous recevrez 1x / mois le web-magazine avec possibilité de désabonnement en bas de chaque email

Merci ! Votre demande a bien été envoyée. Vous allez recevoir un email dans un instant.

Cliquez pour accéder au guide gratuit:

"Comment bien choisir sa palette de couleurs pour un site web réussi..."

> astuces pour bien choisir la couleur de base de sa palette
> comment concevoir une palette cohésive pour son site
> un exemple pratique de la conception d'une palette de couleurs pour une site pro

Merci ! Votre demande a bien été envoyée. Vous allez recevoir un email dans un instant.

DIGITAL TWISP | sauvegarder son site wordpress

Cliquez pour accéder au tutoriel gratuit:

"Comment faire une sauvegarde automatique de son site Wordpress dans Google Drive (Dropbox, etc...)"

Merci ! Votre demande a bien été envoyée. Vous allez recevoir un email dans un instant.

Entrez votre email pour accéder au contenu exclusif: "Générer des visites immédiatement et durablement sur votre site"

Merci, votre demande a bien été envoyée. Vous allez recevoir un email dans un instant, avec les informations pour accéder au contenu exclusif. Ne vous inquiétez pas, c'est très simple.

trouver le nom de blog idéal | GUIDE COMPLET

Entrez votre email et recevez gratuitement le guide "Trouver un nom de blog idéal"

> nombreuses techniques créatives + des outils performants pour vous aidez à trouver le nom de domaine unique dont vous avez besoin
> la liste des critères pour trouver un nom de blog que vous ne regrettez pas
> des conseils pour bien choisir votre extension de nom de domaine

>> Vous allez directement et immédiatement recevoir ce guide sous format PDF dans votre boîte email.

Merci! Votre demande a bien été envoyée et vous allez recevoir un email dans un instant.

Cliquez pour recevoir votre web-magazine:

LES "EXCLUSIVES"

>> Vous allez tout de suite recevoir un email de confirmation avec l'un des précédents numéros du web-magazine - qui contient un bonus, petite surprise de bienvenue, qui sans aucun doute va vous faire plaisir…

Puis vous recevrez 1x / mois le web-magazine avec possibilité de désabonnement en bas de chaque email

Merci ! Votre demande a bien été envoyée. Vous allez recevoir un email dans un instant.

Pin It on Pinterest

Share This