Comment Protéger votre Site WordPress et Quels Plugins Utiliser

  Par  |  Dernière mise à jour : 07 Fév 2017
Comment Protéger votre Site WordPress et Quels Plugins Utiliser

Comment proteger votre site wordpressSi vous n’avez pas installé de plugins de sécurité WordPress sur votre blog, c’est très certainement que vous n’avez jamais fait l’expérience d’un piratage.

J’en ai fait l’expérience à mes dépends, il y a quelques années, lorsque je me suis réveillé un matin et que j’ai découvert que mes sites avaient fait une chute libre dans les Serps de Google (page des résultats).

Après investigation, j’ai découvert que quelqu’un avait piraté le blog et créé des milliers de pages à l’abri des regards et qu’il l’avait transformé en un réseau de liens dissimulés.

Ce fut suffisant pour que Google anéantisse le site même s’il semblait parfaitement sain à l’œil nu, même lorsque j’étais connecté en tant qu’administrateur !

J’ai eu besoin de quelques jours pour tout remettre dans l’ordre (à cause du manque de sauvegardes), ainsi que 3 à 4 semaines pour retrouver mes classements sur Google.

Tout ceci aurait pu être évité si j’avais passé 10 minutes de plus à appliquer les conseils de sécurité WordPress que je vais partager avec vous dans ce tutoriel.

WordPress est la cible privilégiée des hackers, que votre site soit connu ou non.

Découvrez les dernières menaces ici et vous saurez de quoi je parle.

 

Ce que vous allez apprendre

  • Comment améliorer la sécurité WordPress pour vous protéger contre les hackers
  • Comment automatiser les sauvegardes WordPress gratuitement
  • Comment analyser votre site pour vérifier la présence de logiciels malveillants
  • Comment effectuer une vérification de sécurité WordPress complète
  • Comment utiliser les plugins de sécurité WordPress gratuits pour protéger votre blog
  • Tous mes conseils concernant la sécurité WordPress

 

Sauvegarder automatiquement votre site

Avant toute chose : l’un des meilleurs conseils de sécurité WordPress que je puisse vous donner c’est de réaliser régulièrement des sauvegardes de votre site.

Cela facilitera la restauration suite à un piratage.

En effet, grâce à cela, vous pourrez restaurer l’intégralité de votre site en seul clic.

Il est également conseillé d’effectuer une sauvegarde avant toute modification importante de votre site, telle que l’installation d’un nouveau plugin ou la mise à jour vers une nouvelle version WordPress.

Mon hébergement effectue cette tâche automatiquement et me fournit un excellent panneau de configuration.

Si votre hébergement ne le fait pas, ne vous inquiétez pas.

Il existe de nombreux plugins de sauvegarde payants disponibles, mais vous aurez juste besoin du plugin gratuit BackWPup.

 

BackWPup

 

Il sauvegardera votre site, la base de données et tous les fichiers, ainsi que tout le Contenu WP dans un seul fichier ZIP.

Ensuite, il chargera automatiquement le fichier sur un serveur FTP, Amazon S3, Dropbox, SugarSync ou autres services.

Vous pouvez même configurer un compte Gmail gratuit prévu à cet effet et faire en sorte que le plugin vous envoie les sauvegardes par email !

Gmail est un excellent lieu de stockage pour vos sauvegardes de site !

Installez ce plugin et effectuez des sauvegardes quotidiennement !

 

Supprimer la version de WordPress

 

Par défaut, WordPress vous dira quelle version du logiciel est exécutée dans le code source.

Le problème avec ça, c’est que lorsque les hackers découvrent une vulnérabilité, il devient très facile pour eux d’effectuer une analyse des vulnérabilités de WordPress pour obtenir une liste des blogs qu’ils peuvent facilement attaquer.

Pour la supprimer, connectez-vous simplement en tant qu’administrateur et accédez à Apparence > Éditeur > Functions.php et ajoutez cette ligne de code à la fin, avant la balise de fermeture ?> :

remove_action(‘wp_head’, ‘wp_generator’);

 

Bloquer la navigation des répertoires

 

Généralement si vous parcourez un répertoire en particulier, vous pouvez voir tous les fichiers de ce dossier, tout comme lorsque vous parcourez des fichiers et des dossiers sur votre ordinateur.

Pour empêcher le serveur de répertorier les fichiers dans un répertoire, vous devez ajouter 1 ligne à .htaccess

Ouvrez le fichier .htaccess à la racine du site (là où le fichier wp-config.php se trouve) et ajoutez cette ligne :

Options –Index

 

Mise à jour de WordPress et des plugins

 

De nouveaux hacks et vulnérabilités WordPress sont découverts à chaque instant, c’est pourquoi il est important d’effectuer les mises à jour de votre WordPress et de vos plugins.

Assurez une  mise à jour régulière pour sécuriser votre site WordPress !

Il est également bon d’effectuer une sauvegarde de vos fichiers et de votre base de données avant de mettre à jour quoi que ce soit, au cas où il y ait un problème !

 

Effacer les thèmes/plugins non-utilisés

 

Même si des thèmes et plugins non utilisés interféreront pas directement sur votre blog, si le plugin ou le thème est piraté (il en existe des milliers sur le répertoire officiel) alors les hackers pourront encore y accéder.

Donc, si vous disposez de plugins ou de thèmes non utilisés, effacez-les !

En plus d’améliorer la sécurité WordPress, ceci accélérera la vitesse de fonctionnement de votre site web.

 

TimThumb Vulnerabilty Scanner

 

TimThumb est un script populaire qui est utilisé par de nombreux thèmes pour redimensionner des images de vignettes ou autre.

Le seul problème c’est que ce script a un énorme bug qui laisse la porte grande ouverte à tous les hackers.

L’autre problème c’est qu’il est utilisé par de nombreux thèmes et plugins, avec une entrée accessible aux hackers.

C’est à cause de ça que mon site a été piraté.

Pour vérifier si votre thème coure un risque, installez TimThumb Vulnerability Scanner.

Il analysera votre blog afin de découvrir toutes les anciennes versions de TimThumb et vous permettra de les mettre à jour, en un seul clic, si vous en avez besoin !

Vous pouvez désinstaller le plugin une fois cette tâche effectuée.

 

CloudFlare

 

CloudFlare propose un service gratuit qui aide à protéger et à accélérer la vitesse de fonctionnement de n’importe quel site web.

Ceci fonctionne en fait sur le niveau DNS et aide à stopper les hackers avant même qu’ils atteignent ou voient votre site web.

Seules quelques minutes sont nécessaires à sa configuration et il vous offrira une protection raisonnable.

Il existe des options payantes disponibles mais, dans l’ensemble, vous n’en aurez pas besoin.

 

Installer l’un des plugins de sécurité WordPress

 

L’unithemes-securitye des méthodes les plus rapides pour identifier des problèmes de sécurité WordPress c’est d’installer l’un des nombreux plugins de sécurité WordPress disponibles gratuitement.

Il en existe un grand nombre, mais deux se démarquent comme étant les meilleurs plugins de sécurité WordPress : Wordfence & Ithemes Security.

Personnellement, j’utilise Ithemes Security qui vous aidera à protéger votre site de plusieurs façons :

  • Il supprime la version de WordPress
  • Il change les URLs des pages de connexion et du tableau de bord
  • Il renomme le compte par défaut de l’administrateur
  • Il modifie le préfixe des tables de la base de données WordPress
  • Il supprime les messages d’erreur liés aux connexions
  • Il protège vos sites contre les hacks
  • Il surveille les problèmes de sécurité WordPress
  • Il dispose d’un outil d’analyse de la sécurité WordPress
  • Il interdit automatiquement les robots et les hackers
  • Il améliore la sécurité du serveur

Et tout un tas d’autres choses !

Il dispose également d’une option de sauvegarde automatique, mais il enregistre uniquement votre base de données, pas vos fichiers, donc faites référence à la section des sauvegardes pour ça !

 

Installer un pare-feu

 

En plus d’un des plugins de sécurité WordPress, vous devrez également installer un pare-feu WordPress qui bloquera toutes les attaques SQL/Java par injection.

Le plugin OSE Firewall couvrira vos arrières !

L’association du pare-feu et du plugin de sécurité Ithemes Security est une excellente configuration !

 

Comment surveiller la sécurité de vos sites ?

 

Il existe un grand nombre de services de vérification de la sécurité WordPress que nous pouvons utiliser pour surveiller notre site contre les hacks et les indisponibilités.

 

Sucuri Sitecheck

 

Le premier est l’outil d’analyse Sucuri Sitecheck qui vérifiera de nombreuses URL sur votre site quant à la présence d’un large éventail de menaces.

 

sucuri

 

Il vous protège contre tout, allant des logiciels malveillants à une vérification de la mise sur liste noire de votre site.

 

Pingdom

 

Le compte gratuit de Pingdom vérifiera votre site toute les minutes depuis plusieurs endroits.

Vous pouvez être informé par email, sms, Twitter, iOS et Android en cas d’indisponibilité, ce qui est très pratique !

En fait, si vous gérez plusieurs sites, l’App mobile de Pingdom est fantastique.

Je vous la recommande fortement !

 

Change Detection

 

Le service Change Detection est simple d’utilisation et vraiment très pratique !

Il surveille vos pages pour détecter toute modification et si une modification est détectée, il vous enverra un email !

 

Allez-vous mettre en pratique mes conseils de sécurité WordPress ?

 

Il est de votre intérêt de ne pas ignorer les conseils listés dans cet article.

Si vous ne prenez pas ce sujet sérieusement, vous ferez malheureusement face aux mêmes problèmes que ceux que j’ai rencontré.

Ça ne prend pas longtemps de sécuriser votre site.

Alors… qu’attendez-vous ?

Agissez MAINTENANT et appliquez tous les conseils de sécurité WordPress que je viens de partager avec vous.

Installez au moins l’un des plugins de sécurité WordPress et commencez à effectuer des sauvegardes régulières de votre site !

 

 

Tagged under:

6 Commentaires

  • Stephane Répondre

    Merci bcp pour cet article.
    J’ai suivi vos conseils de sécurité pour mon site.

    Super blog plein de bon tips. Continuez comme ca!

    • Rémi Mondina Répondre

      Merci Stéphane pour vos encouragements! Et bon courage avec la sécurisation de votre site.

  • Alexis Répondre

    Merci Rémi pour cette article.
    je le garde dans mes favoris pour un accès à chaque création de site 😉

    Petite question: est-ce nécessaire de conserver tous ces plugins ?
    cela peut devenir « lourd » pour WordPress et ralentir notre site s’il y a déjà plein d’ autres plugins installés, non?

    • Rémi Mondina Répondre

      Bonjour Alexis,

      merci pour votre commentaire. En termes de Plugins, j’ai listé que 3 plugins (BackWPup, IThemes Security ou Wordfence et OSE Firewall).

      Ceci dit, je conseille d’héberger les sites chez un hébergeur qui propose des backups (DB + fichiers) .

      Dans ce cas là, il n’y a plus besoin de BackWPup et on descend à 2 Plugins! 🙂

    • Rémi Mondina Répondre

      Oui, Korben donne d’excellentes astuces 🙂

Laisser un commentaire

Votre adresse email ne sera pas visible.

40 Partages
Partagez16
Tweetez
+12
Enregistrer
Partagez22