Si vous avez déjà été hacké, vous savez à quel point il est indispensable de sécuriser un minimum son installation WordPress.
Pour une entreprise qui lance son blog, la sécurité est souvent au dernier rang des préoccupations.
Après tout, « qui voudrait pirater un blog fréquenté par 3 visiteurs » ?
Sauf que semaine après semaine, votre contenu et vos données prennent de la valeur. Or, rappelons-le, les petits sites aussi sont une cible privilégiée, d’autant que leur manque de préparation les rend plus vulnérables que d’autres.
Pour éviter de vous réveiller demain avec un blog qui redirige vers un site pornographique, ou vous faire expulser par votre hébergeur car une attaque a consommé toutes les ressources disponibles, voici 7 conseils de sécurité :
1) Sauvegardez régulièrement votre site
Plusieurs options s’offrent à vous : soit votre formule d’hébergement inclut une sauvegarde quotidienne, soit c’est à vous de vous organiser.
Pensez à vos fichiers (via FTP), mais aussi à votre base de données. Des plugins comme UpdraftPlus ou WP DB Manager vous faciliteront la vie.
2) Mettez WordPress, votre thème et vos plugins à jour
Nous avons développé ici l’importance des mises à jour. Lorsqu’une nouvelle version de WordPress ou d’un plugin est annoncée, ce n’est pas uniquement pour ajouter de nouvelles fonctionnalités, mais aussi pour résoudre les failles de sécurité détectées.
3) Supprimez le nom d’utilisateur « Admin »
Il est temps de lui dire adieu si ce n’est pas déjà fait.
« Admin » est en effet une cible facile pour les attaques par force brute. Pour cela, créez un nouvel utilisateur administrateur dans votre tableau de bord, puis supprimez celui créé par défaut.
4) Choisissez un mot de passe complexe
Oui, c’est vrai, retenir 15 mots de passe par jour est chronophage et pénible.
Ce n’est pourtant pas pour vous ralentir que l’on vous demande des caractères spéciaux, des chiffres et des majuscules : plus un mot de passe est difficile, plus vous êtes protégé des intrusions.
Oubliez donc « 123456 » ou « motdepasse » et générez une protection plus complexe. Vous vous remercierez plus tard.
Et si vous manquez d’inspiration, vous pouvez utiliser un générateur de mot de passe tel que celui-ci.
5) Scannez régulièrement votre site (si ce n’est quotidiennement)
L’une des meilleures solutions actuelles est de faire appel à Sucuri. Spécialistes de la sécurité et de WordPress, ils s’occupent de tout pour un prix abordable, de la surveillance de votre blog au nettoyage de parasites éventuels.
Il existe également des plugins avec des fonctionnalités de scan, Wordfence par exemple.
6) Activez SSL sur votre site
Pour ajouter un niveau de protection à votre installation WordPress, commandez un certificat SSL auprès de votre hébergeur (payant).
Ensuite, ajoutez à votre fichier wp-config.php la ligne suivante : define(‘FORCE_SSL_ADMIN’, true);
Cette mesure de sécurité s’appliquera ainsi au login et au tableau de bord.
7) Limitez le nombre de tentatives de connexion
Quelqu’un essaie de forcer l’accès à votre tableau de bord ? Pour éviter cette situation, vous pouvez limiter le nombre de tentatives depuis une même adresse IP. Cet article recense différents plugins pour vous protéger. Vous pouvez aussi retrouver nos plugins préférés pour améliorer la sécurité de votre site ou blog WordPress dans notre guide des meilleurs plugins WordPress.
Sécuriser complètement votre site passe par de nombreux autres points ; mais avec ces quelques modifications rapides à exécuter, vous ferez déjà mieux qu’une grande majorité de blogs et sites WordPress !
Avez-vous déjà été victime d’une attaque ? Comment avez-vous procédé ?
Crédit photo : kris krüg