N’attendez pas pour sécuriser WordPress
Le compte admin : le premier point de votre sécurité
Le compte administrateur, que nous nommons affectueusement « admin », ne devrait jamais être traité à la légère. Il vous permet de gérer toutes les données de votre site et ne doit jamais se retrouver en de mauvaises mains. Il est important de créer un nouvel administrateur afin de pouvoir supprimer le compte originel.
Voici, en quelques étapes très simples, comment générer votre nouveau compte admin :
- Créer votre nouveau compte d’administration de WordPress :
Rendez-vous dans votre page d’administration de WP, puis cliquez sur l’onglet “utilisateur”, puis sur “ajouter”
Choisissez l’identifiant, renseignez votre adresse de messagerie, votre prénom et votre nom ainsi qu’un mot de passe fort : lettres minuscules et majuscules, chiffres et signes, d’au moins 12 caractères. Vous pouvez également conserver le mot de passe suggéré par WordPress.
Dans l’onglet rôle, faites défiler le curseur et choisissez administrateur. Cliquez sur « ajouter un utilisateur » et fermez votre WordPress.
- Retournez dans votre site internet à l’aide de votre nouvelle authentification et de votre mot de passe. Revenez à l’onglet « utilisateurs ». Les deux comptes administrateurs apparaissent, cliquez sur supprimer pour le premier et voilà, c’est fait !
Afin de protéger davantage votre compte des malwares, créez un rôle « éditeur » ou « auteur » pour vos articles et vos pages. Pour cela, il vous suffit de revenir à la section « ajouter un utilisateur », choisir un identifiant et un mot de passe différent. Vous attribuerez à ce dernier le rôle « auteur ». Veillez à affecter à ce nouvel utilisateur à tous vos articles et pages si vous aviez déjà des contenus en ligne.
Afin de modifier rapidement l’auteur d’un article ou d’une page, sans jouer avec vos différents identifiants et mots de passe, rentrez dans votre site via votre administration. Attribuez toujours à vos pages et articles le rôle « auteur » ou « éditeur » en procédant ainsi :
- Cliquez dans la section « Articles » ou « pages », tous les articles et pages rédigés apparaissent.
- Cliquez dans l’onglet « modification rapide » de l’article que vous venez de rédiger
- Dans la section « auteur », choisissez le nom de votre rôle « auteur », mettez à jour et le tour est joué.
Tentatives de connexions : limitez-les !
Les tentatives de connexion par brute-force peuvent compromettre jusqu’à 30 000 sites par jour ! Il existe pourtant des moyens simples de contrarier ces scripts automatisés et limiter leur intrusion. En imposant des mots de passe forts à vos internautes et clients comme à vous-même et en surveillant les connexions non autorisées, vous rendrez la tâche plus difficile aux hackers.
Une autre méthode consiste à limiter le nombre de tentatives de connexion à votre blog avec les extensions suivantes :
Un seul suffit et vous permettra de limiter le nombre de tentatives lorsque le mot de passe est erroné et d’empêcher toute nouvelle tentative durant le nombre de minutes, d’heures que vous aurez choisi.
Comme vous le voyez sur ce site, 166 verrouillages ont permis de détourner les attaques par force brute.
Ne faites jamais l’impasse sur les mises à jour et sauvegardes de votre site WordPress
Comme je vous le rappelais dans Pourquoi et comment mettre à jour WordPress, les mises à jour du core de WordPress, des thèmes ou des extensions sont nécessaires pour corriger les failles de sécurité et les vulnérabilités tout autant que pour son amélioration.
Afin de conserver des sauvegardes régulières de votre site, plusieurs plugins WordPress existent comme BackupWordPress, UpdraftPlus ou encore BackWPup. Toutefois, cette dernière extension s’adresse à des personnes plus expérimentées sur WordPress, car ses nombreuses options peuvent rebuter les moins exercés d’entre nous.
Enfin, avant toute mise à jour, n’oubliez pas de créer un thème enfant à votre thème sous peine de voir tout votre travail disparaître.
Avant tout, rappelez-vous que le choix de votre hébergeur et la version de PHP proposée auront également une incidence sur la sécurisation de votre site ou de vos sites mutualisés. OVH, O2Switch sont bien positionnés. Si vous préférez un hébergement spécialisé pour le CMS WordPress, optez pour WP Serveur, WPX Hosting.
Nous reviendrons dans de prochains articles sur les méthodes éprouvées pour protéger des cyberattaques et des pirates à l’aide de différents plugins et d’autres actions, comme la mise en place du HTTPS et de paramétrages plus poussés.