Comment protéger votre site WordPress: quelques conseils et recommandations pour améliorer la sécurité

Comment protéger votre site WordPress: quelques conseils et recommandations pour améliorer la sécurité

Dans les derniers mois nous avons reçu plusieurs appels d’entreprises et organisations aux prises avec des problèmes de hacking sur leurs sites ou blogs WordPress. Dans la pluspart des cas ces attaques étaient bénignes et nous avons remis les  sites en bon état de marche tout en leur prodiguant quelques conseils que je partage avec vous.

Tout d’abord il faut savoir que la sécurité 100 % n’existe pas sur Internet ni d’ailleurs dans n’importe quel domaine. Souvent on a tendance à penser qu’en premier lieu l’hébergeur est responsable. Il faut quand même savoir qu’un hébergeur, c’est un peu comme le propriétaire d’un immeuble qui loue des appartements. Il va s’assurer  que les commodités de bases reliées au bon fonctionnement de l’ensemble soient respectées mais il ne peut pas être tenu responsable si vous perdez vos clés, à qui vous les prêtez ou si vous n’avez pas un système d’alarme ou une porte blindée.

Il faut quand même savoir que WordPress est un logiciel de gestion de contenu très sécuritaire mais qu’aucun système même très protégé n’est infaillible. Le problème du hacking est sans fin. Plus on prend des mesures pour sécuriser WordPress, plus WordPress propose des mises à jour pour améliorer sa sécurité, plus les hackers redoublent d’ingéniosité pour déjouer les embuches.

Quelques recommandations de base quelques peu techniques pour les néophytes mais bonnes à savoir ci-dessous.

Précautions indispensables

  • Faire des mises à jour de WordPress et des plugins régulièrement.
  • Une installation WordPress necessite 3  sortes de mots de passe : un pour le FTP, un pour la base de données, un pour se connecter à l’admin. Il est évident que plus ces mots de passe circulent entre plusieurs personnes, plus les risques augmentent. Conseil: si un de vos collègues, employés, fournisseurs met fin à sa relation avec votre projet, changez ces mots de passe.
  • Utiliser des mots de passe puissants (majuscules, minuscules, chiffres, caractères spéciaux)

D’autres astuces assez utiles

  • Masquer la version de WordPress que vous utilisez.
  • Renommer le préfixe des tables WordPress dans la base de données.
  • Si votre blog n’est pas installé dans un sous-répertoire, vous pouvez remonter le dossier wp-config.php dans le dossier parent.
  • Protéger l’accès au wp-config.php via .htaccess

Ok donc une fois ces opérations complétées, vous êtes mieux protégés mais pas invulnérables, alors il faut faire du monitoring, prévoir des solutions de rechanges et des plan B au cas ou votre site se ferait grignoter comme un morceau de gruyère par une souris gourmande:

 

  • Installer le plugin Login LockDown qui permet de protéger l’accès à votre admin. Si une personne cherche à se connecter et que l’opération échoue plusieurs fois, l’accès se bloque pour une période déterminée. C’est vous qui décidez du nombre de tentatives et du délai d’inaccessibilité.
  • Installer le plugin Antivirus qui permet de scanner votre thème à la recherche de failles et de virus.
  • Installer le plugin WP Database Back-up qui permet de recevoir un backup de votre base de données par courriel et suivant une fréquence que vous choisissez. Donc votre back-up ne reste pas sur le serveur, il est à l’extérieur bien au chaud dans votre boite de courriel.
  • Installer le plugin WordPress Security Scan  qui va régulièrement vous envoyer des alertes sur tout ce qui se passe sur votre site: mise à jour de WordPress et de plugins à faire, possibilité de vulnérabilités, inactivité du serveur etc.
  • Installer le plugin Secure WordPress qui va effectuer certaines tâches que j’ai mentionnées dans les astuces assez utiles.

J’aurai  une dernière recommandation pour dormir tranquille. Il s’agit de VaultPress, un plugin développé par Automattic la maison de mère de WordPress. Ce plugin payant ( 15 $/mois) permet de connecter en permanence votre site aux serveurs de WordPress. Le site est régulièrement scanné et sauvegardé. Ce qui est intéressant c’est que même si vous avez fait vos devoirs et qu’un incident survient, vous pouvez rapidement en quelques clics restaurer votre site immédiatement. De plus vous avez accès aux ingénieurs et techniciens de WordPress qui pourront vous conseiller et vous guider sur la marche à suivre.

Pour ce qui est des commentaires spams, il y a bien sûr Akismet aussi en provenance de Automattic. A noter que Akismet est désormais payant, on parle de 5 $/mois pour un petit site ou blog professionnel mais c’est un excellent plugin très performant.

Pour terminer sachez que nous offrons un service qui s’appelle La Clinique WordPress. Nous pouvons faire un audit de vos installations, faire des recommandations et intervenir. Nous offrons aussi des forfaits annuels de suivi et entretien, en bref nous mettons sous surveillance vos installations, faisons les mises à jour et intervenons en cas de problèmes.

9 commentaires

  1. Très intéressant votre article. Mon site a été hacké récemment. Le problème a été rapidement corrigé. Cependant, je ne m’étais pas vraiment rendu compte par moi-même que j’avais un problème. J’arrivais à publier etc. J’ai été mis au courant de la situation grâce à des adeptes qui m’ont avisés qu’une alerte les avisaient de ne pas visiter mon site. Quels sont les signes typiques d’un site ‘infesté’ par un hackeur? Avez-vous d’autres exemples pour vos lecteurs? Merci beaucoup!

    • Il y a peu de signes dans un WordPress hacké.

      Par exemple, les liens dans tes articles peuvent être remplacés par des liens vers des fausses boutiques en ligne (c’est un « mysql inject » qui fait ça). On ne peut corriger qu’avec un backup de la base de données.

      Sinon, il peut y avoir un tas de liens qui s’ajoutent sur ton thème qui ne sont visible que par les moteurs de recherche et pas les navigateurs.

      Pour faire la veille de ton WordPress, un bon moyen est de regarder les mots clefs associés à ton site dans Google Webmaster Tools ou dans les mots clefs des moteurs de recherches dans Google Analytics. S’il y a cialis ou viagra, c’est que ton site est hacké!

      Vaut mieux investir dans la prévention que dans la correction!

  2. Pour des sites costauds, nous faisons intervenir des experts en sécurité WordPress.

    Il n’y a pas de prix fixe à La Fabrique de blogs pour ce genre d’audits et de corrections. Ça dépend du nombres de plugins, combien de lignes de codes, etc. Ça peut donc varier en 1 jour jusqu’à 5 jours de travail.

  3. Bonjour
    Je fais un blog de voyage autour du monde, je vais avoir de protéger mon blog, j’ai installer WP Database ..

    Sa m’écrit sa: Your backup folder MIGHT be visible to the public
    Et sa me demande de modifier le chemin, seulement, je ne peux pas déplacer le fichier puisque sa me dis, que c’est déjà sur le même dossier ou quelque chose comme sa.

    Aussi, pour les sauvegardes du site, sa peut se faire directement sur l’hébergeur payant, ou je dois le sauver sur mon pc? se qui me sera plus tard impossible (je n’aurais plus de pc)

    Merci, de me répondre sur mon adresse email si possible, sa serait vraiment sympa, je flippe un peu pour mon blog

  4. merci pour les conseils et les information cordialement

  5. Bonjour,

    J’aimerai apporter deux petits ajouts vu que l’article est encore bien présent dans les moteurs de recherche.

    Premièrement, le plug-in iTheme Security est offre une excellente protection du WordPress.

    Un des outils simples et efficaces pour nettoyer un site WordPress infecter est de souscrire à un service payant comme SiteLock.
    Merci de m’avoir lu et bonne journée!

  6. Bonjour
    Merci pour cet article très complet
    Les sites worpress hébergé chez OVH rencontre un problème de compatibilité avec l extension de sécurité Acumix …
    Je vous recommande d utiliser soit Itheme sécurité soit Wordfence afin de sécuriser facilement votre site WordPress.
    Certain plugins WordPress comportent des failles de sécurité …et ces extensions sont parfois incompatibles entrent elle…
    Si votre site wordpress plante suite à l installation d un de ces plugin pas de panique …Connectez vous via le ftp …. allez dans le dossier wp-content ….puis plugins et renommez l extension qui pose problème exemple :itheme security deviendra ithemesecurity1 et voila ca remarche !
    J utilise très régulièrement l extension Itheme security pour proteger les sites Worpress de mes clients …il y a certaine option à modifier avec prudence ….

  7. Merci pour ce superbe billet …
    Pour sécuriser facilement et efficacement votre site wordpress je vous recommande d installer l extension ITheme security …
    Ce plugins de sécurité détecte tout ce qui ne va pas ,reste à cliquer afin de corriger les problèmes ,Itheme security permet également de renommer le compte administrateur de modifier votre fichier .htacess…..
    Une extension fiable et très bien noté … et difficile de trouver plus complet….

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.