Le CMS (Système de Gestion de Contenu) WordPress a été lancé en 2003, plus de 20% des sites utilisent ce logiciel. En France, plus de 80% des blogs français seraient sur WordPress, il s’agit du CMS le plus populaire au monde.
Cette popularité attire malheureusement les pirates informatiques qui profitent de la moindre faille pour avoir une totale emprise sur votre blog. En mars dernier, en raison d’une faille sur le plug-in Yoast WordPress SEO plus d’un million de sites WordPress étaient exposés à des attaques par injection SQL. Voici donc quelques étapes pour vous aider à sécuriser votre site WordPress contre les différentes attaques.
Les types de piratage possibles sur votre site WordPress
La redirection de votre nom de domaine
Il peut arriver que lorsque vous souhaitez accéder à votre site web vous atterrissez sur un autre site qui n’a rien à voir avec le vôtre. Il s’agit là d’une redirection de votre nom de domaine vers le site du pirate informatique.
La redirection des URL de votre site web
Les pirates peuvent également changer le fichier htaccess de votre site ce qui leurs permet d’effectuer une redirection de certaines de vos URL vers les leurs.
Javascript et Iframe
Il est également possible que les pirates modifient le code de vos pages en cachant au sein de celui-ci des iframes pour afficher un site malveillant. Il peuvent aussi rediriger vos visiteurs vers un site malveillant en modifiant le code en javascript.
La perte ou la suppression des données de votre site WordPress
L’un des scénarios catastrophe est la suppression de votre site web. Les pirates prennent alors le contrôle de votre base de données et suppriment tout ! Si vous n’avez pas effectué de sauvegarde de l’intégralité de votre site (base de données, articles, thème, pages etc.) impossible de récupérer votre site… Pour éviter ceci nous vous conseillons de suivre les étapes ci-dessous.
Comment sécuriser mon site WordPress en quelques étapes ?
Sauvegardez votre site WordPress
La première chose à faire est de sauvegarder régulièrement votre site afin de vous prémunir contre la perte de données. Suivez nos étapes pour sauvegarder votre site web depuis le panel utilisateur LWS
Mettez à jours vos extensions
Une bonne partie des sites qui se font hacker n’ont pas effectué de mises à jour régulières. Il faut savoir que chaque mise à jour WordPress que vous effectuez apporte des améliorations en termes de sécurité et il en va de même pour vos plugins.
Avec les formules d’hébergement WordPress LWS vous avez toujours accès aux dernières versions du logiciel disponible en installation en 1 clic.
Utilisez des mots de passes sécurisés
Comme vous le savez sans doute déjà il est fortement déconseillé d’utiliser un mot de passe faisant référence à votre vie privée (date d’anniversaire, prénom de vos proches, numéro de département…). Il est également important d’utiliser un mot de passe unique pour vos différents comptes.
Pour un mot de passe sécurisé celui-ci doit être constitué d’au minimum 8 caractères composé de chiffres et lettres minuscules et majuscules.
Créez un nouveau compte Admin
WordPress vous propose par défaut de créer un compte intitulé « Admin » lors de l’installation. Si vous ne changez pas cet identifiant commun vous facilitez la tâche au hacker car celui-ci n’a plus qu’à trouver votre mot de passe…
Modifiez le préfixe « wp_ »
Le préfixe attribué par défaut à votre base MySQL lorsque vous installez un site WordPress est « wp_ ». Ce préfixe peut être vulnérable en cas d’injection SQL. Pour changer le préfixe vous pouvez utiliser le plugin WP Security Scan.
Bloquez les attaques de type « brute force »
Afin de bloquer les attaques « brute force » nous vous conseillons le plugin Limit Login Attempts qui permet de restreindre le nombre de tentatives d’accès à votre site web et de réserver l’accès seulement à certaines adresses IP.
Le plugin Ultimate Security Checker vous permet de faire une analyse des améliorations à effectuer en termes de sécurité sur votre site WordPress.
Protégez l’accès au wp-config.php via .htaccess
Afin d’empêcher le hacker de récupérer votre identifiant et mot de passe nous vous conseillons d’ajouter la ligne suivante à votre fichier .htaccess (situé à la racine de votre serveur FTP) :
Masquez la version de votre site WordPress
Un hacker pourra facilement identifier les failles de votre version WordPress, d’où l’intérêt de mettre à jour régulièrement votre logiciel. Pour masquer le numéro de version de votre site WordPress suivez les procédures suivantes :
Ouvrez votre fichier functions.php à partir du menu « Apparence » puis sélectionnez « Editeur »
Ajoutez ce code :
Ouvrez ensuite votre site WordPress sur un navigateur puis vérifiez le code source de la page.
Si une ligne de code ressemblant à celle-ci :
apparaît ouvrez le fichier header.php de votre thème puis supprimez la ligne suivante :
Sauvegardez le fichier puis actualisez.
Il est également important de supprimer le fichier readme.html car celui-ci affiche le numéro de version de votre site WordPress (ce fichier se trouve à la racine de votre site).
Profitez d’un hébergement web fiable avec nos formules d’hébergement WordPress LWS !