5 étapes pour sécuriser ton site WordPress

5 étapes pour sécuriser ton site WordPress

Table des matières

WordPress

La question de la sécurité sur internet ou bien d’être victime de piratage sans le savoir peut faire extrêmement peur. On a peur que des personnes mal intentionnées prennent possession ou bien “cassent” notre site.

L’idéal est de sécuriser ton site WordPress dès sa création de son site WordPress. Si tu en as déjà un, il n’est pas trop tard ! Sécurise-le !

On peut en parler d’ailleurs 😉

 

Savais-tu que les sites WordPress représentait 39,5% des sites Internet dans le monde selon w3techs ?

 

Avoir un site WordPress n’a donc rien d’exceptionnel. Tout le monde connait ce CMS, les hackers y compris ! D’autant plus que les failles dans les paramètres par défaut de WordPress sont nombreuses hélas.

Je te propose de découvrir mes 5 tips pour améliorer la sécurité de ton site WordPress et ainsi limiter le risque de piratage 😉

Ainsi, commençons dès à présent à mieux sécuriser votre site en changeant  votre identifiant WordPress admin, si vous ne l’avez pas encore déjà fait…

Etape 1 : Changer l'identifiant "admin"

Lors de la création d’un site WordPress, on a, par défaut, l’identifiant “admin“. Il s’agit de la première grosse faille de WordPress !

Tout le monde le sait et par conséquent les hackers aussi !

Si tu n’as pas changé ce nom d’utilisateur à la création de ton site, ils peuvent utiliser cette faille pour tenter de “craquer” ton site. Au lieu de devoir trouver 2 champs, ils n’en ont qu’un seul à découvrir : ton mot de passe. (Nous on y reviendrons plus tard d’ailleurs…)

Nous allons sur le champ changer “admin” pour un autre nom !

De prime abord, WordPress ne semble pas autorisé le changement de l’identifiant “admin” : c’est une sécurité pour éviter la suppression du compte administrateur, par erreur ou pas…

1ère solution : On change dès l'installation de WordPress

Cela parait évident mais bon ! Quand tu installes ton WordPress, après t’être connecté.e à ta base de donnée, tu arrives sur une page qui te demande de saisir un identifiant, à toi de choisir autre chose qu’admin !

Page d'installation WordPress
Page d'installation WordPress

2ème solution : "One again a bistoufly" !

Honnêtement ça fonctionne mais je trouve cela quand même un peut “système D“. Je te la propose malgré tout car elle existe.

Il est possible de changer l’identifiant admin cependant seul un administrateur est habilité à ajouter et supprimer un autre administrateur.

Il suffit alors de créer un 2ème administrateur (que tu nommeras comme tu le souhaites) qui va pouvoir supprimer l’administrateur “admin“.

Pour faire cette manipulation, tu te connecteras sur le compte de ce nouvel administrateur, tu te rendras sur la page de gestions des comptes utilisateurs et tu pourras supprimer l’administrateur “admin”.

Important !

N’oublie pas de cocher la case qui permet de transférer toutes les pages dont “admin” est auteur vers le nouvel administrateur ! Sinon tu risques de perdre toutes les pages créées par “admin” …

3ème solution : Via une extension de sécurité

Si tu installes l’extension “SecuPress, elle analyse ton site WordPress et te protège plusieurs solution à tes problèmes de sécurité, notamment de changer le nom d’admin.

 

Te voilà débarrassé de cette première faille : l’identifiant admin ! Attaquons-nous maintenant la seconde : 

Quel mot de passe lui as-tu choisi ? Est-il suffisamment robuste pour lutter efficacement contre le piratage?

password, app, application

Etape 2 : Créer un mot de passe robuste

Il faut t’assurer que ton mot de passe soit suffisamment robuste.

Répétons les bases que l’on voit partout (ce n’est jamais inutile 😉 ). Il ne faut pas choisir :

  • Des dates de naissances,
  • Des noms de proches,
  • Une suite de chiffre : 12345 n’est pas un bon mot de passe !

1ère solution : Choisir son mot de passe soi-même

Tu ne sais pas comment choisir ton mot de passe ?

Je t’invite à découvrir le site de l’ANSSI qui te donne des recommandations à suivre pour avoir un mot de passe sécurisé ! C’est un site de référence sur la sécurité des systèmes d’information, tu peux t’y fier et surtout jeter un œil sur le reste du site 😉

En résumé :

  • Un mot de passe doit toujours être unique : pour chaque nouveau compte, un nouveau mot de passe.
  • Le nombre de caractères doit être compris entre 12 et 20 caractères : plus un mot de passe est long et plus il est sécurisé.
  • Les lettres du mot de passe doivent alterner des caractères en majuscules et en minuscules.
  • Un mot de passe doit inclure un ou plusieurs caractères spéciaux (@%&!.$), un ou plusieurs chiffres avec des séquences aléatoires : pas de suite de nombre logique ou qu’on peut obtenir par des calculs (des multiples par exemple)

Tu as déjà mal à la tête rien qu’à lire cette liste ? La deuxième solution est faite pour toi !

2ème solution : Les générateurs de mots de passe

Tu peux en trouver facilement via les moteurs de recherche, WordPress le propose aussi par défaut.

Même si tu as obtiens un mot de passe sécurisé, tu vas le trouver pas très intuitifs et par conséquent pas faciles à se mémoriser. Il existe des applications de sauvegarde de mots de passe : n’hésite pas à en utiliser une pour t’aider à gérer tous tes comptes ! La difficulté à mémoriser son mot de passe ne doit pas être un obstacle ou une excuse pour ne rien sécuriser.

Sinon tu as même la technique “à l’ancienne” du carnet ou feuille à mots de passe 😉

Poussons le vice encore plus loin !

Effectivement tu es fier.ère, tu as un mot de passe au top de la sécurité maintenant. Oui mais ! L’idéale est de le changer régulièrement, en moyenne tous les 6 mois. Si tu as peur d’oublier note le sur ton agenda. 🙂

Félicitions, tu as désormais renforcer la sécurité pour accéder à ton compte !

Cependant, mauvaise nouvelle pour toi, les hackers sont plutôt persévérant dans leur recherche de LA faille…

La prochaine étape de notre marche vers plus de sécurité pour ton WordPress ? Limiter le nombre de tentatives de connexions malveillantes !

internet, crime, cyber

Etape 3 : Limiter les tentatives d’intrusions sur ton WordPress

Information important et non-négligeable : par défaut sur WordPress, il n’y a pas de limite du nombre de tentatives de connexions à un compte sans succès. 

WordPress laisse le hacker libre de pouvoir s’acharner sur ton site sans être dérangé.

Heureusement pour nous, il est possible de remédier à cette faille grâce à l’installation d’une extension.

Elle va diminuer la possibilité d’intrusions à ton compte en limitant le temps pendant lequel on peut essayer de se connecter et le nombre de tentatives autorisées.

L’extension “SecuPress” permet d’installer aussi une protection “Pare-feu” (Firewall), anti-spam et même des options d’optimisation de ton site. Il existe bien sûr d’autres extensions similaires, mais celle-ci fonctionne bien et c’est celle que j’utilise ! 🙂

Désormais, tu as considérablement améliorer la sécurité concernant l’accès à ton site !

Il reste une quelques zone de vulnérabilité sur ton site WordPress: l’adresse de la page de connexion.

Etape 4 : Cacher la page de connexion de ton site WordPress

Encore un paramètre par défaut de WordPress ! Tous les sites ont la même adresse pour se connecter : /wp-admin ou /wp-login.php .

Est-ce surprenant si je te dis que les hackers le savent ?

C’est donc une faille de sécurité sur ton site WordPress. Je te montre comment la régler facilement 😉

L’adresse de ta page de connexion peut être modifiée / cachée en utilisant une extension adaptée. Puis-je encore te parler de “SecuPress” qui te propose cette option ? Oui oui encore elle ! Elle propose tellement de choses dans sa version gratuite ! Sinon l’extension “WPS hide login” fonctionne aussi très bien 🙂

Pour changer cette adresse, la procédure est assez simple, il suffit simplement de changer la fin de l’adresse ! Je te conseille de choisir un ou plusieurs mots clés sans rapport avec ton site comme par exemple un nom d’aliment ou d’objet, le nom de ton animal de compagnie, etc. Cela va sécuriser davantage ta page !

Après avoir fait ce changement, tu devras utiliser cette nouvelle adresse pour te connecter . “Wp-admin” et “wp-login” ne seront plus valide, les hackers qui tenteront ces adresses auront une page d’erreur.

Voilà, tu as bien travailler pour sécuriser ton site ! Tu penses avoir fini ? Pourtant il reste un point essentiel à la stabilité et à la sécurité de ton site : avoir une bonne maintenance ! D’ailleurs si tu as besoin d’aider pour cette partie, je te propose mes services à ce sujet 😉

WordPress

Etape 5 : Mises à jour et maintenance de ton site

Il faut savoir que la première faille de sécurité en informatique est l’humain ! Elle serait même à l’origine de 90% des piratages.

On résume les dispositions à prendre pour faire la maintenance de ton site régulièrement ?

  • Changer ton mot de passe régulièrement : en moyenne tous les 6 mois.
  • Faire les mises à jour de WordPress : de ton thème, de tes plugins, etc.
  • Faire des sauvegardes de ton site (Back-up) régulièrement pour éviter de tout perdre, en cas de problème.

En conclusion, ton site WordPress est bien mieux sécurisé contre le piratage. Si le hacker voit que ton site n’est pas facile à pirater, il passera son chemin pour continuer vers d’autres sites plus vulnérables.