Sécuriser son site sous WordPress. Conseils et plugins
4.6 (92%) 10 vote[s]

Sécuriser son site sous WordPress est une des priorités avant de penser contenu et référencement. Voyons les actions et plugins indispensables.

WordPress est le CMS le plus utilisé au monde. De fait, il est donc le plus attaqué par les hackers de tout niveau. Sécuriser son site sous WordPress est donc indispensable. Si la probabilité de se faire attaquer est faible, le risque est là. Et perdre son blog ou son site, ainsi que tout son contenu, après y avoir passé des heures voir des nuits ne fait pas forcément plaisirs…

Quelques modifications permettront d’être plus serein. Si vous êtes novice ou ne souhaitez pas mettre les mains dans le code, des plugins permettent de sécuriser de façon efficace votre blog sous WordPress.

Avant les plugins

Avant d’installer des plugins, plusieurs actions sont indispensables.

Lors de l’installation

Avant toute chose, changez le préfixe de votre base de données MYSQL qui est « wp_ », par défaut. Cela peut se faire dés l’installation de votre WordPress. Si vous ne l’avez pas fait, vous pouvez utiliser un plugin comme WP Security Scan.

Autre précaution, avant de commencer, supprimer le fichier readme.html. Ce dernier est situé à la racine de votre WordPress et donne pas mal d’infos comme le numéro de la version de votre WordPress

Après l’installation

Après avoir installer votre site et l’avoir mis en ligne, plusieurs actions devront être effectuées. La première consiste à changer votre identifiant. Encore trop de blogueurs oublient cette opération. Par défaut, en installant WordPress, votre identifiant est « admin ». Autant vous dire qu’un hacker va utiliser cet identifiant pour tenter de se connecter à votre site. Ils utilisent, le plus souvent, des robots, qui vont tenter plusieurs connexions sur cet identifiant en multipliant les mots de passe.

La priorité est donc de changer cet identifiant. Cela se fait lors de l’installation de WordPress. Si vous ne l’avez pas fait à ce moment là, vous pouvez le modifier via le tableau de bord et l’onglet utilisateurs puis « mon profil ».

La deuxième action est de modifier le nom qui sera publié à la fin de votre article. Cela permettra de ne pas donner un indice sur votre identifiant à une personne mal intentionnée. Enfin, changez l’adresse de votre page auteur. Et oui, parce que votre identifiant apparait toujours à cet endroit…

L’autre impératif est de sauvegarder régulièrement votre site. Beaucoup d’hébergeurs proposent ce service dans leur offre standard. C’est le cas de 1and1 ou O2Switch, par exemple. Sinon, des plugins peuvent vous le proposer comme Jetpack ou BlogVault. Cela vous permet de récupérer une version antérieure de votre site, en cas d’attaque ou de défaillance de votre site suite à une mise à jour d’un plugin par exemple.

Les plugins.

Move Login est une extension qui permet de changer votre adresse de connexion. Par défaut, celle ci est de type www.monsite.com/wp-login.php. Move Login va permettre de modifier cette adresse. Efficace contre les robots.

Login LockDown permet de limiter les tentatives de connexion d’un adresse IP. Il est très efficace et complètement paramétrable. Nombre de tentatives avec blocage, délai avant nouvelle connexion,…

Wordfence Security est le plugin de sécurité par excellence. Disponible en gratuit ou premium. Il embarque un Anti-virus, un Firewall et un anti malware. On peut paramétrer pas mal de chose, bloquer des pays, des adresses IP,…

Il éxiste beaucoup d’autres plugins comme Block Bad Queries (BBQ), qui permettent de sécuriser votre site sous WordPress. Un autre plugin mérite sans doute une attention particulère, c’est All In One Security, qui embarque toutes les fonctionnalités vu précdamment. L’extension française SecuPress monte en puissance avec d’excellents résultats.

 

Voici les conseils de base à respecter pour sécuriser votre site WordPress et avant de vous lancer dans la partie la plus agréable de votre site. Par la suite, plusieurs possibilités permettent de renforcer la sécurité de votre site. Ces actions demanderont un peu plus d’expertise et de mettre les mains dans le cambouis. Pour ceux qui souhaitent aller plus loin, je ne peux que vous conseiller de visiter des blogs comme WPMarmite et WPformation qui proposent des tutos très bien fait et qui m’ont aidé à mes débuts.

Ronan Yhuel

Plusieurs vies professionnelles, plusieurs expériences, plusieurs apprentissages. Je partage, sur Finanpole, mes découvertes et conseils pour vivre sa vie de freelance pleinement.

5 réponses

  1. 6 juin 2018

    […] le robot utilise l’identifiant par défaut, de WordPress : « Admin ». La première règle de sécurité d’un site internet est donc de changer cet […]

  2. 6 juin 2018

    […] sont assez simples. Au-delà des précautions à prendre, lors de l’installation du CMS, pour sécuriser votre site, de bonnes habitudes permettront de minimiser un maximum les […]

  3. 30 septembre 2018

    […] le robot utilise l’identifiant par défaut, de WordPress : « Admin ». La première règle de sécurité d’un site internet est donc de changer cet […]

  4. 20 février 2019

    […] est de permettre une réparation de son site après une attaque. En effet, quand un hacker va attaquer votre site web, il va s’attaquer, en général, à votre base de données. Et là, c’est terminé. […]

  5. 3 mai 2019

    […] étant le CMS le plus utilisé au monde, c’est aussi le plus attaqué par les hackers. La sécurité d’un site, sous WordPress, est un sujet récurrent dans l’actualité du CMS. Une des actions primordiales, pour sécuriser […]

Laissez un commentaire et complétez cet article de votre expérience

Donec quis nunc elit. ut ipsum risus Phasellus leo. ante. felis