Comment protéger son site WordPress ?

Comment protéger son site WordPress ?

Apparu en 2003, WordPress est le système de gestion de contenu CMS le plus populaire. Il appartient aux open-sources, ce qui fait de lui une référence pour tous les développeurs qui utilisent le CMS. De par sa gratuité, sa simplicité et ses multiples fonctions, plusieurs petites entreprises s’en servent pour se faire connaître et pour faire écouler leurs produits et services. Les particuliers, eux aussi, trouvent dans ce logiciel un outil incontournable pour concevoir différents types de sites internet à moindre coût comme les blogs, les sites e-commerce, les portfolios ou encore les sites vitrines d’entreprises.

Comme pour toutes les sources ouvertes, la question de sécurité de WordPress laisse à désirer. Plus de 17 000 sites sont piratés au cours de l’année 2016. Selon un rapport de Daniel Cid. 78% des sites piratés sont développé avec WordPress. La conception de site internet, on le sait tous, demande un temps fou et un travail d’envergure pour harmoniser les différentes pages du site. Il n’est pas donc de seconde priorité la sécurité de votre site. On se demande alors comment peut-on protéger les sites conçus avec WordPress ?

Conseils pour protéger votre site wordpress

1. Les mises à jour cadencées

Il faut avoir l’habitude d’installer les mises à jour fournies par votre WordPress ainsi que vos plugins. C’est parce que WordPress est une cible très marquée des hackers, qu’il y a toujours des améliorations pour surmonter les faille décelées. Ce qui fait qu’il y a des mises à jour permanentes pour consolider la sécurité de ce logiciel. Les mises jour ont pour fonction, non seulement l’ajout des fonctionnalités plus avancées.  Mais aussi, ce qui est encore plus important, la résolution des bugs et des failles de sécurité. Toutefois, il faut bien s’assurer que les mises à jour sont dispensées par le site officiel de WordPress.

2. L’archivage constant

Combien vous serez heureux si jamais vous avez une archive fraîche de votre site qui vient d’être endommagée  par des attaques des hackers. N’attendez pas la ruine de votre plate forme pour regretter de ne pas avoir archivé vos sites et votre base de données. Cette archive vous permet de rétablir facilement votre site.

3. Les mots de passe pour plus de sécurité

Pour rendre la tâche des pirates un peu plus difficile, songez à choisir des mots de passe qui sont hors de portée. Pour ce faire, faites un amalgame de caractères minuscules et majuscules des chiffres des signes… et surtout ne donnez pas le même mot de passe pour tous vos services. À noter que vous devez constamment changer vos mots de passe. Aussi il est primordial d’empêcher la modification de mot de passe ou la génération de mot de passe à partir d’un compte d’utilisateur ou par un courriel. Ainsi les seuls administrateurs du site pourront le faire.

4. Donnez à votre base de données un autre préfixe

Le préfixe wp est attribué par défaut par WordPress à votre base MySQL. Chose qui est connu par les pirates qui vont essayer de connaître vos tables, pour tenter des injections SQL. Il est donc fortement recommandé de changer ce préfixe par un autre suivant votre site.

5. Interdire la navigation des dossiers WordPress

Par défaut, l’accès, par quiconque, à vos dossiers wp-content est possible. D’ordinaire WordPress stocke vos données dans des dossiers wp-content/uploads/. Ces dossiers sont accessibles à tout le monde en introduisant l’URL dans n’importe quel navigateur. Cet état de choses peut mettre en cause vos données personnelles contenues dans ces répertoires. Alors pour pallier à cette faille ajoutez le code Option All –Indexes dans votre fichier .htaccess à la racine de votre site.

6. Bloquez les tentatives répétées de connexion infructueuses

WordPress vous offre la possibilité de tester les couples identifiant/mot de passe sans limite du nombre de tentatives pour se connecter à votre compte d’administrateur. Alors, ne serait-ce pas plus prudent de limiter le nombre de ces tentatives infructueuses pour une durée déterminée et de bloquer l’ID de l’utilisateur en question ?

Avec toutes ces précautions conjuguées on peut prévenir une éventuelle attaque des hackers. Reste à savoir comment protéger notre site s’il est d’ores et déjà victime d’une véritable intrusion.

Que faire si un site WordPress est piraté ?

Les indices qui peuvent vous renseigner sur l’état de santé de votre site sont multiples :

  • La présence de l’écran rouge de la mort est un signal de piratage du site par un pirate ou plutôt un logiciel malveillant.
  • Les moteurs de recherche comme Google donnent des renseignements sur la sécurité des sites à qui il font référence.
  • Les liens et les textes illicites qui apparaissent sur votre site, eux aussi peuvent être des signes de violation de votre site.
  • La redirection des internautes vers d’autres sites lors de leurs visites à votre site sont des techniques utilisées par les pirates.

Si jamais vous rencontrez un de ces indices, il y a une forte chance que votre site court le risque d’être piraté.

Alors, est-ce que cela veut dire que toutes vos données sont perdues à jamais ?

Et bien, heureusement non. On a toujours une marge de manœuvre pour protéger nos données à commencer par une inspection des programmes malveillants en se servant des outils faits pour ce genre de tâche comme Sucuri. Il s’agit d’une entreprise spécialisée dans le nettoyage des sites piratés. On peut tout de même se servir de Checker qui est une source gratuite qui vous offre un diagnostic de votre site. Il vous renseigne s’il est en présence de danger ou non. Toutefois, ce logiciel ne vous offre pas une garantie de précision de ses diagnostics vu qu’il se fait à distance en plus qu’il est gratuit.

Il existe d’autres plugins mis à la disposition des webmasters gratuitement tel que All in One WP Security, ITemes Security ou encore Wordfence qui peuvent effectuer des scans de votre site et détecter, le cas échéant, un éventuelle attaque des hackers. Ces derniers peuvent apporter des modifications à vos fichiers principaux qui ne doivent pas être altérés. Alors par ces plugins, vous avez la possibilité de déceler toue altération de vos fichiers.

A signaler que vous devez effectuer un scan complet de tous vos sites, si vous en avez plusieurs. Pour éviter la contamination croisée qui reste tout de même une cause important de réinfection.

Les innombrables outils pour sécuriser votre site WordPress ne font que révéler les multiples pistes entreprises par les pirates pour accéder à vos données. Ils ne vont pas s’arrêter de tenter n’importe quelle stratégie pour aboutir à leur but. Alors vigilance et attention sont à prescrire pour tout webmaster soucieux de la sécurité de son site.

Nous espérons que cet article vous a été utile pour la sécurité de votre site WordPress. N’hésitez pas à le partager 🙂

wordpress-728X90

[DISPLAY_ULTIMATE_SOCIAL_ICONS]