Sécuriser son site WordPress

Sécuriser son site WordPress

5 min de lecture

Dès le début de sa mise en place, il est obligatoire de bien sécuriser son site WordPress.
C’est la rançon du succès, WordPress est très utilisé donc très attaqué. Il faut donc mettre en place différents principes afin d’éviter tout détournement ou accès à l’administration.

Différentes règles afin de bien sécuriser son site WordPress

Bien choisir ses identifiants de login à l’administration

Sécuriser son site doit être un reflex dès son installation. Lorsque nous installons WordPress, il nous est demandé de créer tout de suite et c’est logique, un compte pour accéder à l’administration de WordPress.
Evitons de déterminer des login et mot de passe trop simple. Bannissons “admin”. Choisissons des identifiants différents si nous gérons différents sites.
Si nous sommes plusieurs à travailler sur le site et donc différentes personnes ont accès à l’administration, nous surveillerons que pour eux également, le choix des identifiants d’accès est optimal.

Changer l’URL de la page d’accès à l’admin

Tous les sites internet réalisés avec WordPress, ont le même permalien pour accéder à l’admin. Donc il est simple pour les hackers de trouver la page d’accès à notre administration de site. Il nous est possible de personnaliser l’adresse URL de cette page, donc faisons-le.
Cela se fait via un plugin. J’utilise WPS Hide Login.

plugin wordpress cache admin

 

Une fois installé, retournez dans le chapitre réglage, général et en bas de page, choisissez votre URL  et ne l’oubliez pas !

plugin wordpress lien admin

Installer un captcha sur le formulaire d’administration

En plus du login et du mot de passe, il est conseillé de placer un champ supplémentaire de saisi sur la page d’accès à l’admin.
Un camp de saisi aléatoire, qui donc est différent à chaque fois que nous affichons cette page.
Par contre, pour se faire, il va falloir installer un plugin.
J’ai pris par habitude, pour ce cas, d’utiliser Math Captcha.

plugin wordpress securite match captcha

Ce plugin, une fois installé, proposera un calcul mathématique, pour confirmer nos identifiants.admin capcha wordpress

(perso j’évite de proposer des multiplications et des divisions, je dois réviser mes tables de multiplication, nous le réglons dans les paramétrages …)

J’utilise Match Captcha pour l’accès à l’admin, par contre je ne l’utilise pas sur un formulaire créé pour le public, pour les internautes. J’utilise plutôt Recaptcha, qui est très présent sur le web et dont les internautes sont familiers (enfin presque tous les internautes …)

Bloquer les requêtes indésirables

C’est quoi donc ?
Certains hackeurs utilisent le principe d’attaques qui fonctionnent sur des requêtes malicieuses de type injection SQL. Ils savent que nous utilisons WordPress, ils connaissent notre URL, ils essaient de provoquer une action en rajoutant dans notre adresse web, une fonction.
Pour éviter cela, il existe un plugin qui bloque toutes ces tentatives silencieusement en se basant sur une liste noire : BBQ Block Bad Queries

pluginb-bbq

Une fois installé et activé, il n’y a pas de paramétrages. tout se fait tout seul.

Installez Wordfence

Wordfence est le plugin qu’il faut installer. C’est un plugin très efficace pour nous protéger des attaques & piratages.
C’est un plugin Freemium, les principes de base sont gratuits et si nous en voulons encore plus, passons par la carte bleue.
Ce plugin est très complet et je ferais (peut-être) un billet totalement dédié. Pour le moment, je me contente de vous dire installez le et garder le paramétrage de base. Si vous êtes curieux ou impatient, fouillez dans les options.

plugin wordfence Sécuriser son site WordPress

Faites des sauvegardes

Pour toute application informatique, il est fortement recommandé de sauvegarder très régulièrement nos éléménts. Pour WordPress, il faut le faire également.
Nous pouvons le faire de 2 manières, via notre hébergeur et via notre site en installant un plugin dédié.
Via notre hébergeur, bien entendu tout dépend du choix de notre hébergeur. Perso, j’ai testé et au final j’ai choisi le plus connu : OVH. Et il propose de sauvegarder sa base de données et permet de remettre en ligne son site à J-1, J-2, etc …
Pour le plugin, il en existe plusieurs de très performants, et là aussi, je prépare un article dédié donc … patience … (oh le teasing !)

Autres conseils et astuces basiques pour bien sécuriser son site WordPress

– Installons des plugins à jour et compatibles avec notre version de WordPress.
Lorsque nous sommes amenés à choisir un nouveau plugin à installer, vérifions tout d’abord s’il est compatible avec notre version de wordpress utilisé et s’il est régulièrement mis à jour. Les plugins peuvent présenter des failles de sécurité et il serait dommage d’utiliser un outil défaillant.

– Mettons à jour nos différents éléments
Tout ce qui est installé sur notre site, WordPress, thèmes, plugins, doivent être mis à jour. Les mises à jour corrigent des problèmes qui ont été détectés ou font évoluer l’outil, il serait dommage de ne pas en profiter.
Actuellement, c’est la version 4.7.5 qui fait tourner ce site. Si demain, la version 4.7.6 est dispo, elle peut se mettre à jour automatiquement. Par-contre, si nous passons à 4.8.1, faisons attention, une sauvegarde est fortement recommandé avant mise à jour.

– Supprimer le fichier « readme.html ».
Ce fichier n’est pas nécessaire au fonctionnement de notre site Il contient des informations pouvant être utile aux hackers, comme le numéro de version de WordPress.

Dernier conseil de bon sens afin d’être sûr de bien sécuriser son site WordPress

Déconnectons-nous de l’administration.
Dès que nous avons fini de travailler, pensons à bien nous déconnecter.
Combien d’élèves j’ai vu ne pas le faire (n’est ce pas ?)

Voici donc mes conseils afin de bien sécuriser son site WordPress, mais si vous avez vous-meme des astuces, des expériences à faire partager, vous avez normalement juste en dessous de cet article, une zone commentaire.
Et surtout si vous avez appris des choses, n’hésitez pas le dire et à partager sur les réseaux cet article.

Previous Une vidéo : Optimiser le référencement de son site WordPress
Next Wordpress 4.8 est disponible

A propos de l'auteur

Vous pouvez également lire

Wordpress 0 Comments

Pourquoi utiliser WordPress

4 min de lecturePourquoi utiliser WordPress, le CMS le plus utilisé dans le monde. Qu’est ce qu’un CMS ? L’acronyme CMS signifie Content Management System, pour système de gestion de

Wordpress 0 Comments

Tout savoir sur WordPress en 1 infographie

2 min de lectureIl n’est pas évident de tout savoir sur WordPress, tant ce CMS est riche et performant. Une infographie tente tout de même le pari. Des faits que

Wordpress 0 Comments

Nouvelle version de WordPress

2 min de lectureWordPress.org vient d’annoncer la disponibilité d’une nouvelle version de WordPress : la 4.6 dénommée « Pepper » en l’honneur du saxophoniste de jazz Park Frederick « Pepper

3 Comments

  1. kiki
    juin 13, 18:42 Reply
    J'ai eu la référence de votre blog par l'un de vos anciens élèves (avec lequel d'ailleurs nous avons créé notre propre site). J'ai parcouru certains de vos articles, et ils sont très intéressants : merci de faire partager vos connaissances à des amateurs comme moi. Je me suis d'ailleurs abonné. J'en profite pour vous soumettre un problème : lors de l'ouverture de notre site (soit en tant qu'administrateur, soit en tant qu'abonné), un site de pub s'ouvre en arrière-plan de manière aléatoire !!! Comment peut-on empêcher ces sites parasites de s'ouvrir intempestivement ? Avec tous mes remerciements
    • Emmanuel Robin
      juin 13, 23:12 Reply
      Bonsoir Vu l'énoncé de votre souci, vous avez un malware Avez-vous installé Wordfence ? Si non, installez le ... Si oui, vous pouvez lancer un scan et il va vous identifier les fichiers qui posent problème. Ensuite à vous de bien isoler les mauvais fichiers et de les supprimer manuellement.

Laissez une réponse

2 + 6 =