Éviter les logins génériques
Si on se met dans la tête d’un hacker, la première chose à faire serait de se rendre sur l’interface de connexion d’un site WordPress et d’essayer plusieurs combinaisons d’identifiants et de mots de passe.
Nombreux sont les gestionnaires de sites qui utilisent encore l’identifiant et le mot de passe “admin”. Le premier réflexe à avoir lorsqu’on crée un accès à son site, c’est de se créer un compte ayant un login difficile à deviner. Évitez donc d’utiliser votre prénom comme login, ainsi que “wordpress”, “administrateur”, le nom de votre site ou de votre entreprise… Faites preuve d’imagination !
Concernant votre mot de passe, je vous conseille d’utiliser une variante de votre mot de passe habituel. Sachez que 8% des sites WordPress sont hackés dû à des mots de passe trop simples à deviner. Vous pouvez alors, par exemple, ajouter une lettre spécifique au début ou à la fin de votre mot de passe habituel. Si vous avez du mal à retenir tous vos mots de passe, il existe des “coffres-forts” à mots de passe comme LastPass ou Dashlane.
Changer l’URL de connexion au back office
Pour éviter que n’importe qui se connecte à l’interface de connexion de votre site et tente d’y forcer l’entrée, il existe une méthode simple qui consiste à changer l’URL de connexion de votre site.
Par défaut, il est possible de se connecter à un site WordPress simplement en ajoutant “/wp-admin” après l’URL d’un site. Par exemple, avant que je change l’URL de connexion de mon site, on pouvait y accéder depuis : studio-val.fr/wp-admin.
Pour changer ce lien de connexion, il suffit d’installer le plugin WPS Hide Login. Une fois que vous l’avez téléchargé et activé, rendez-vous dans Réglages -> Général depuis le back office de votre site. Descendez ensuite en bas de la page pour trouver la section suivante.
C’est ici que vous pourrez choisir votre nouveau lien de connexion en mettant ce que vous voulez dans “URL de connexion”. Si quelqu’un tente de se rendre sur le lien votresite.com/wp-admin, vous pouvez choisir de le rediriger vers la page de votre choix. Le mieux à faire est de rediriger vers une page d’erreur 404. D’ailleurs, vous avez pensé à personnaliser votre page 404 ? 😉
Besoin d'aide pour sécuriser votre site ?
Contactez-moi gratuitement
Sécuriser son site WordPress avec WordFence
La prochaine étape consiste à sécuriser l’ensemble de son site avec le plugin WordFence. Bien entendu, il existe des dizaines de plugins de sécurité. J’ai choisi de vous présenter WordFence car c’est un des plugins les plus utilisés.
Une fois installé et activé sur votre site, WordFence s’engage à :
- Protéger votre site des attaques “brute-force”, c’est-à-dire des combinaisons de logins et de mots de passe.
- Centraliser tous les événements liés à la sécurité de votre site sous forme de dashboard.
- Permettre l’authentification à deux facteurs pour vous connecter à votre site.
- Scanner et éliminer les Malwares présents sur votre site WordPress.
- Mettre en place un Firewall pour lutter contre les failles de sécurité qui pourraient provenir des fichiers de WordPress, de votre thème ou des extensions utilisées.
Il existe une version gratuite de WordFence ainsi que trois versions payantes. Selon l’utilité de votre site et des données que vous pouvez collecter (toujours dans le cadre du RGPD !), vous pouvez opter pour une solution payante à partir de $99 par an. Quand on aime son site, on ne compte pas, n’est-ce pas ? 🙂
Activer les mises à jour automatiques dans WordPress
Sécuriser son site WordPress, c’est aussi tenir à jour ses extensions. Je vous en ai parlé précédemment, il est possible que des failles de sécurité soient présentes dans les plugins (ou extensions) que vous utilisez sur votre site. Pour combler ces failles, il est nécessaire d’installer la version la plus récente du plugin concerné. Généralement, les développeurs sont rapidement informés et déploient un patch dans la journée.
Mais encore faut-il se rendre compte qu’une faille est présente dans un des plugins qu’on utilise, et mettre ce plugin à jour ! Si vous ne vous rendez pas quotidiennement sur votre site, et pour anticiper les jours où vous ne pouvez pas y accéder, je vous conseille d’activer les mises à jour automatiques de vos plugins.
Pour ce faire, rien de plus simple : rendez-vous sur la page “Extensions”, et cliquez sur “Activer les mises à jour auto”.
Si vous avez beaucoup de plugins d’installés sur votre site WordPress, cochez la case “Extensions” tout en haut ou tout en bas de votre liste puis cliquez sur le menu déroulant “Actions groupées” pour enfin choisir “Activer les mises à jour auto”. Ne me remerciez pas.
Activer la double authentification sur WordPress
La dernière étape pour sécuriser son site sur WordPress consiste à mettre en place la double authentification. Cette double authentification a pour but de valider votre connexion à l’aide d’un email, un SMS ou d’un code à usage unique.
Pour ma part, j’ai fait le choix d’utiliser Google Authenticator comme double authentification. Une fois installé sur votre smartphone, l’application Google Authenticator génère des codes à six chiffres à intervalle régulier. Ces codes sont utilisables un peu partout sur les sites et applications qui le proposent comme Facebook, le site de trading Binance ou encore sur Amazon.
Google Authenticator va alors vous permettre de vous connecter à votre site en renseignant un de ces codes à usage unique après avoir saisi votre identifiant et votre mot de passe. Une couche de sécurité en plus pour votre site WordPress.
Vous pouvez télécharger l’extension (non officielle) depuis la bibliothèque des extensions ou en cliquant sur ce lien. Une fois installée, l’extension se paramètre depuis Réglages -> Google Authenticator.
Pensez bien à cocher la case “Ask for authenticator code on secondary login screen” pour flasher le QR code nécessaire pour obtenir les codes dans Google Authenticator ainsi que votre clé de secours, si vous venez à perdre l’accès à l’application.
Votre site WordPress est désormais sécurisé ! Sachez qu’il existe de nombreux autres plugins et d’autres astuces pour sécuriser encore plus son site. A vous de choisir quelles méthodes vous conviennent le mieux en fonction de vos besoins et de vos exigences en matière de sécurité.
Et vous, quels sont les plugins que vous utilisez pour sécuriser votre site WordPress ?
