Comment sécuriser votre site WordPress : 10 conseils concrets pour protéger votre site contre les pirates

  • Auteur/autrice de la publication :
  • Post category:Site Web
il faut rester zen si on se fait pirater son site wordpress

Vous envisagez de créer un site sur WordPress, vous avez bien raison ! C’est le CMS le plus performant, le meilleur en termes de possibilités, mais attention : il est aussi particulièrement vulnérable. Le piratage de son WordPress, ça n’arrive pas qu’aux autres ! J’en ai moi-même fait l’expérience.

le jour ou j'ai découvert que mon wordpress était piraté

Un jour, j’ai eu la mauvaise idée d’installer une extension un peu au hasard. Malheureuse ! Lorsque j’ai voulu la désactiver : impossible. Mon WordPress est devenu INACCESSIBLE. Un message d’erreur s’affichait sur une page blanche. Plus d’accès à mon URL de connexion. Et là, c’est le drame.

Je me suis retrouvée à passer des heures à chercher des solutions sur le Web (que j’ai fini par trouver), j’ai mis les mains dans le PHPMyAdmin (cauchemar). J’ai fini par retrouver un semblant de mon site qui était tout cassé… Et puis surtout, je me suis rendue compte, après plusieurs semaines, que j’avais peut-être réussi à restaurer mon site, mais que je n’avais pas enlevé le piratage.

En réalité, un virus avait placé une redirection frauduleuse dans mon code. Résultat, à chaque fois que l’on cliquait sur l’URL de mon site web, on était redirigé vers du SPAM. L’enfer. J’ai finalement décidé de supprimer mon ancien nom de domaine, de quitter OVH car, même s’il est français, je fuis cet hébergeur qui n’a rien fait pour m’aider, au contraire !

Enfin bref, aujourd’hui tout ça, c’est du passé. Et aujourd’hui, je ne lésine pas sur la sécurité de mon site WordPress. J’ai décidé de vous partager mon expérience et mes conseils, ça pourrait bien vous servir à vous aussi !

Voyons ensemble pourquoi et comment sécuriser votre WordPress en 10 conseils concrets !

WordPress est la plateforme de création de sites web la plus populaire au monde. Elle est utilisée par des millions de personnes, des particuliers aux entreprises en passant par les organisations à but non lucratif. Cependant, sa popularité en fait également une cible privilégiée pour les pirates informatiques.

En 2022, WordPress a été la cible de 35,7 millions d’attaques, soit une augmentation de 20 % par rapport à l’année précédente. Ces attaques peuvent avoir des conséquences dévastatrices, allant de la perte de données à la compromission de la réputation d’une entreprise.

Il est donc important de prendre des mesures pour sécuriser votre site WordPress. Dans cet article, nous vous proposons 10 conseils concrets pour protéger votre site contre les attaques.

sécuriser son wordpress c'est important

1- Choisissez un hébergeur WordPress réputé qui propose des mesures de sécurité avancées

La sélection d’un hébergeur web pour votre site WordPress est cruciale pour sa sécurité et sa performance. Un fournisseur d’hébergement de confiance intègre plusieurs mesures de sécurité avancées pour protéger votre site. Voici quelques-unes de ces mesures essentielles :

  1. Pare-feu réseau : Il sert de barrière pour filtrer et bloquer les tentatives d’attaques venant d’Internet, réduisant ainsi le risque de pénétration malveillante sur votre site.
  2. Filtres anti-spam : Ces outils sont essentiels pour éviter les courriels malveillants qui pourraient compromettre la sécurité de votre site ou de vos utilisateurs.
  3. Sauvegardes régulières : La capacité de l’hébergeur à effectuer des sauvegardes fréquentes et fiables de votre site assure que vos données peuvent être rapidement restaurées en cas de perte ou d’attaque.

Conseils pour choisir un hébergeur WordPress :

  • Avant de vous décider, examinez attentivement les options d’hébergement WordPress disponibles. Évaluez les avis d’autres clients et comparez les fonctionnalités de sécurité offertes par chaque hébergeur.
  • Interrogez sur les mesures de sécurité. Lorsque vous contactez un hébergeur potentiel, demandez des détails sur les mesures de sécurité qu’ils proposent. Cela inclut les types de pare-feu, les protocoles anti-spam, et la fréquence des sauvegardes.
  • Vérification des sauvegardes. Assurez-vous que l’hébergeur que vous choisissez offre un service de sauvegarde régulier et fiable, ce qui est vital pour la protection et la récupération de vos données en cas de problème.

2- Mettez à jour WordPress, les thèmes et les plugins

Pour optimiser et sécuriser efficacement votre site WordPress, il est essentiel de suivre certaines pratiques recommandées, notamment en ce qui concerne les mises à jour et l’utilisation de plugins de sécurité.

Importance des mises à jour WordPress:

Les développeurs de WordPress effectuent constamment des mises à jour pour corriger les failles de sécurité et améliorer les fonctionnalités. Ces mises à jour sont cruciales pour protéger votre site contre les nouvelles menaces et vulnérabilités.

Conseils pratiques pour les mises à jour :
Activez les mises à jour automatiques pour garantir que votre site reste à jour avec les dernières versions de WordPress, des thèmes et des plugins, sans intervention manuelle.

  1. Vérifiez régulièrement les mises à jour disponibles pour s’assurer que tout est à jour.
  2. Effectuez toujours une sauvegarde complète de votre site avant d’installer des mises à jour pour pouvoir restaurer le site en cas de problème.

3- Installez un plugin de sécurité sur votre WordPress

Pour sécuriser efficacement votre site WordPress, l’installation d’un plugin de sécurité WordPress est une étape fondamentale. Ces plugins de sécurité WordPress offrent une protection avancée contre de nombreuses menaces, y compris le piratage, les virus et les attaques par force brute.

Choisissez un plugin réputé, tel que Wordfence, iThemes Security ou Sucuri Security, qui sont largement recommandés pour leur fiabilité et efficacité. Assurez-vous que votre plugin de sécurité WordPress est toujours à jour, car les développeurs mettent régulièrement à jour ces plugins pour contrer de nouvelles vulnérabilités et menaces.

Prenez le temps de configurer correctement votre plugin de sécurité WordPress. Activez les fonctionnalités importantes comme la protection contre les attaques par force brute, la surveillance des fichiers, et les pare-feu. Utilisez les capacités de surveillance du plugin pour garder un œil sur les activités suspectes et effectuez des audits de sécurité réguliers pour identifier et corriger les failles de sécurité potentielles.

Bien que cela ne relève pas directement du plugin de sécurité, réaliser des sauvegardes régulières de votre site est crucial. En cas d’attaque réussie, vous pourrez ainsi restaurer rapidement votre site. En suivant ces conseils, vous renforcerez significativement la sécurité de votre site WordPress, protégeant ainsi vos données et celles de vos utilisateurs contre les attaques de piratage.

4- Utilisez un générateur de mots de passe pour créer un mot de passe fort

L’utilisation d’un mot de passe fort est essentielle pour la sécurité de votre site WordPress. Le mot de passe de votre compte d’administrateur agit comme la première ligne de défense contre les accès non autorisés. Un mot de passe fort doit être long, complexe et unique, idéalement comportant 12 caractères ou plus, incluant une combinaison de lettres majuscules, minuscules, de chiffres et de caractères spéciaux. Cette complexité rend le mot de passe difficile à deviner ou à craquer.

Évitez les répétitions en ne réutilisant pas un mot de passe déjà employé pour d’autres comptes

Chaque mot de passe doit être unique pour réduire les risques en cas de fuite de données d’un autre service.

Utilisez un générateur de mots de passe pour créer un mot de passe aléatoire et robuste

Ces outils génèrent des mots de passe qui sont pratiquement impossibles à deviner.

Conservez votre mot de passe dans un endroit sûr

L’utilisation d’un gestionnaire de mots de passe est recommandée, car ces outils chiffrent vos mots de passe et vous permettent d’y accéder de manière sécurisée.

Changez votre mot de passe périodiquement pour renforcer la sécurité

Même si votre mot de passe actuel est fort, le renouveler régulièrement peut aider à prévenir les risques de sécurité à long terme.

en résumé concernant votre mot de passe robuste sur WordPress : 

  • N’utilisez pas de mot de passe que vous utilisez déjà pour d’autres comptes.
  • Utilisez un générateur de mots de passe pour créer un mot de passe aléatoire.
  • Enregistrez votre mot de passe dans un endroit sûr.

5 – Activez l’authentification à deux facteurs

L’authentification à deux facteurs (2FA) ajoute une couche de sécurité supplémentaire à votre compte d’administrateur. Lorsque vous activez la 2FA, vous devez entrer un code généré par une application ou un appareil physique en plus de votre mot de passe pour vous connecter à votre site.

Voici quelques plugins de sécurité WordPress qui proposent l’authentification à deux facteurs :

  • SecuPress
  • iThemes Security
  • Sucuri Security

Notez que votre hébergeur aussi vous propose l’authentification à deux facteurs. C’est le cas de celui que j’utilise : Hostinger. 

6 –Changez l’URL de connexion

L’URL de connexion par défaut de WordPress est /wp-admin/. Il est facile pour les pirates de trouver cette URL et d’essayer de se connecter à votre site. Pour rendre la connexion plus difficile, vous pouvez changer l’URL de connexion.

Voici comment changer l’URL de connexion de WordPress :

  1. Ouvrez le fichier wp-config.php de votre site.
  2. Ajoutez la ligne suivante à la fin du fichier :
PHP
define('WP_ADMIN_URL', 'https://votresite.com/mon-admin');
  1. Enregistrez le fichier wp-config.php.

Bon plus simplement, vous pouvez utiliser une extension, cela vous évitera d’entrer le Php my admin. 

De nombreux plugins de sécurité WordPress proposent une fonctionnalité de modification de l’URL de connexion. Cette option est généralement plus simple à utiliser que de modifier le fichier wp-config.php manuellement.

Voici comment modifier l’URL de connexion avec un plugin de sécurité :

  1. Installez et activez un plugin de sécurité WordPress.
  2. Accédez aux paramètres du plugin.
  3. Trouvez l’option de modification de l’URL de connexion.
  4. Entrez la nouvelle URL de connexion que vous souhaitez utiliser.
  5. Enregistrez les modifications.

Par exemple, le plugin WPS Hide Login propose une option de modification de l’URL de connexion. Pour l’utiliser, il suffit d’activer le plugin, d’aller dans les paramètres du plugin et de saisir la nouvelle URL de connexion souhaitée.

Voici un exemple de nouvelle URL de connexion que vous pouvez utiliser :

https://votresite.com/bienvenue-chezmoi

Cette URL est plus difficile à trouver pour les pirates, car elle ne correspond pas à l’URL par défaut de WordPress, qui est /wp-admin/.

7- Bloquez l’accès aux dossiers sensibles

Moins évident pour les novices mais très important ! 

Par défaut, les dossiers de votre site WordPress sont accessibles à tous. Pour améliorer la sécurité de votre site, vous pouvez bloquer l’accès à ces dossiers en modifiant votre fichier .htaccess.

Voici comment bloquer l’accès aux dossiers sensibles de WordPress :

  1. Ouvrez le fichier .htaccess de votre site.
  2. Ajoutez les lignes suivantes au fichier :
Order Deny,Allow
Deny from all
Allow from 127.0.0.1
  1. Enregistrez le fichier .htaccess.

8 – Effectuez des sauvegardes régulières

En cas d’attaque, les sauvegardes régulières vous permettront de restaurer votre site à un état antérieur. Effectuez des sauvegardes au moins une fois par semaine et stockez-les dans un emplacement sûr. Une fois encore, les plugins de sécurité cités plus haut pour propose de le faire, votre hébergeur aussi. 

9 – Soyez vigilant 

Soyez vigilant quant aux activités suspectes sur votre site. Si vous remarquez quelque chose d’anormal, comme une augmentation du trafic ou des messages d’erreur, prenez des mesures immédiatement.

Voici quelques signes qui pourraient indiquer que votre site wordpress a été piraté :

  • Une augmentation soudaine du trafic vers votre site.
  • Des messages d’erreur étranges sur votre site.
  • Des modifications non autorisées dans votre contenu ou votre thème.
  • Des tentatives de connexion répétées à partir d’adresses IP inconnues.

il faut rester zen si on se fait pirater son site wordpress

10 – Que faire si vous vous faites pirater votre site wordpress ? 

Si votre site WordPress est piraté, il est important de réagir rapidement. Voici quelques étapes à suivre :

– Déconnectez-vous de votre site et changez votre mot de passe pour un plus complexe et unique.
– Analysez votre site à la recherche de malware en utilisant un outil de sécurité, qu’il soit gratuit ou payant.
– Restaurez votre site à partir d’une sauvegarde récente pour éliminer les modifications malveillantes.
– Contactez votre hébergeur pour demander de l’aide, car ils peuvent fournir une assistance technique et aider à résoudre les problèmes de sécurité.

Pour protéger votre site WordPress contre les pirates, voici quelques conseils en plus :

– Évitez d’installer des plugins ou des thèmes de sources non fiables, car ils peuvent contenir des malwares.
– Soyez prudent lorsque vous cliquez sur des liens ou ouvrez des pièces jointes dans des e-mails d’adresses inconnues pour éviter le phishing et les logiciels malveillants.