Installer son site, c’est bien. Le configurer correctement, c’est important. Le design et le contenu encore plus. Une autre étape important est souvent oubliée des utilisateurs : WordPress représente 25% des sites internet répertoriés, il est donc l’une des cibles principales des hackers. Votre contenu n’est pas protégé et est accessible au premier pirate du coin via un simple navigateur et vous êtes exposé aux commentaires spam de type backlink, qui postent des liens un peu partout sur vos articles. Nous allons donc voir ici quelques principes de sécurité.
Protéger mon compte
Login + mot de passe
Lors de la création de votre compte administrateur, ne choisissez pas votre prénom ou votre nom de domaine comme pseudo et choisissez un mot de passe complexe, de préférence qui n’a aucun sens. Les logiciels de brute force disposent de tonnes de mots et de combinaisons possible de lettres à essayer jusqu’à trouver le bon mot de passe, ne faites aucune suite logique, mettez des majuscules, des minuscules, des chiffres le tout sans suite logique. Aussi, n’utilisez pas le même mot de passe sur plusieurs site, si l’un d’entre eux est hacké, les autres seront exposés. Si vous avez un très fort trafic et que vous êtes la cible d’attaques, pensez à changer régulièrement votre mot de passe. Si vous postez des articles, il est possible de modifier votre pseudo qui sera alors différent de votre login, ou même de vous créer un second compte uniquement pour rédiger vos articles. Pensez aussi à bien noter votre mot de passe !
Restreindre les tentatives de login
Des plugins peuvent vous aider à protéger votre compte. Avec un bon mot de passe et un plugin qui empêche, pas exemple, plus de 5 tentatives de connexion d’affiler en 15 min, vous serez protégé de façon plus durable : une même adresse IP ne pourra pas utiliser le brute force, ce qui réduit de beaucoup le nombre de hackers potentiels en réduisant d’un coup leur motivation. À ceci, vous pouvez ajouter un CAPTCHA, un test qui permet de vérifier que l’utilisateur est bien humain au moment de confirmer son login. Votre compte est maintenant quasiment immunisé contre de « petits » hackers.
Faire des sauvegardes
En cas d’attaque, si vous perdez des informations, c’est très certainement définitif. Pensez à installer un plugin de sauvegarde et à les externaliser pour les récupérer sur un compte DropBox automatiquement, par exemple. Si votre site disparaît, vous pourrez toujours le réinstaller avec cette sauvegarde ou le faire réinstaller par un professionnel. Pensez aussi à maintenir à jour vos plugins et WordPress pour disposer des dernières mises à jour de sécurité.
Cacher vos informations
Avec un simple navigateur, n’importe qui peux accéder aux fichiers stockés sur votre serveur et à la version de WordPress dont vous disposez. De plus, lors d’une tentative de connexion, WordPress renvoi une erreur qui peux indiquer au pirate des informations compromettantes sur votre pseudo ou votre mot de passe, ce qui peux grandement lui faciliter la tâche.
Pour cacher votre version de WordPress, ajoutez la ligne :
remove_action(« wp_head », « wp_generator »)
à votre fichier function.php (sans les guillemets).
Pour cacher votre fichier wp-config, ajoutez :
order allow,deny deny from all
à votre htaccess.
Pour cacher les répertoires sensibles, toujours dans le htaccess :
Options All -Indexes
et pour cacher le htaccess :
order allow,deny deny from all
Certains plugins permettent aussi de cacher tout le code source interprété par votre navigateur.
Protégez votre base de données
Pour protéger l’accès à votre base de donnée, vous pouvez changer le préfixe par défaut des tables MySQL (wp_). Faites le dès lors la création de votre site ou bien utilisez la technique de modification de base de donnée indiquée dans l’article « Comment déplacer mon site WordPress » en cliquant ci-dessous :
6/Cachez l’éditeur
Dans l’administration de votre site WordPress, vous disposez d’un éditeur qui peux s’avérer dangereux si un hacker accède à votre compte admin. Vous pouvez facilement le cacher en ajoutant à votre function.php la ligne suivante :
define('DISALLOW_FILE_EDIT',true);
7/ Déplacez la page de login
Les hackers viennent rarement directement sur le site pour lancer l’attaque. Ils lancent généralement des logiciels dont le rôle est de repérer les sites utilisant WordPress, se rendre sur leur page de connexion et tenter des milliers de combinaison. En changeant l’adresse de votre page de login, cela empêchera un certain nombre de lancer la moindre attaque. Pour cela, utilisez des plugins permettant de la cacher ou même de la désactiver et de vous connecter via une autre page.
J’espère que cet article vous a plu et vous aidera dans la sécurisation de votre site web ! N’oubliez pas de la partager à vos proches sur les réseaux sociaux, cela nous aide grandement à nous faire connaitre ! Abonnez vous à notre Newsletter pour recevoir en avant première et gratuitement nos prochaines formations !
