Comment sécuriser son site WordPress | Blog de Vincent Ton Comment sécuriser ton site WordPress ? | Vincent Ton

Comment sécuriser ton site WordPress ?

Posted by Vincent Ton on mars 25, 2019 in wordpress
Card Image

De nos jours, 30% des sites internet sont créés sous WordPress, ce qui fait que WordPress est le CMS le plus utilisé dans le monde. Ce qui fait aussi une cible privilégiée pour les hackers et apprentis-hackers. C’est pourquoi, on va voir comment sécuriser son site WordPress dans cet article.

Et si tu penses que ton site internet n’est pas attaqué car pas assez connu, tu te trompes. L’image ci-dessous montre que des individus ont tenté d’y accéder au blog récent d’un de mes clients.

Les pirates pensaient vraiment que mon identifiant de connexion était admin ? LOL

Car oui, même un petit site internet comme le mien ou le tien n’est pas à l’abri d’une tentative d’intrusion. Et c’est pourquoi je vais te décrire comment sécuriser ton site WordPress.

Mais tout d’abord :

Pourquoi un hackeur veut-il pirater ton site ?

Un hacker qui attaque ton site internet, c’est comme un démarcheur téléphonique très chiant qui t’appelle. Il a dans son ordinateur, un fichier excel composé de milliers de sites internet et un logiciel d’attaque par force brute.

Lui, tout ce qu’il compte, c’est qu’il arrive à pirater au moins 1 site internet parmi les milliers de sites dans sa liste d’Excel. Car dès qu’il a en sa possession un site internet, il peut pratiquer du spam. Et gagner beaucoup d’argent si quelqu’un mord à l’hameçon.

Comme un démarcheur téléphonique, ce qu’on demande au hacker de manière automatique c’est :
1 – d’aller sur tonsiteblablabla.com/WP-LOGIN.PHP
2 – de rentrer l’identifiant « admin »
3 – lancer le logiciel d’attaque par force brute.

C’est pourquoi on va rendre inaccessible la page wp-login.php aux pirates. Et on va changer ton identifiant de connexion « admin » en un autre nom d’utilisateur. 2 actions simples mais qui te permettent d’améliorer significativement la sécurité de ton site WordPress !

Installer le plugin Wordfence et le plugin Updraft pour protéger ton site WordPress

Mais avant de faire ces deux actions, on va télécharger le plugin Wordfence et le plugin Updraft.

Le plugin Wordfence est un plugin qui permet de protéger ton site des attaques par force brute. Et il permet aussi d’avoir un suivi des tentatives d’intrusions. Chaque semaine, tu peux avoir dans ta boîte mail un rapport d’activité sur les tentatives d’intrusions.

Le plugin Updraft te permettra de sauvegarder ton site internet si jamais tu rencontres un gros problème sur ton site. C’est un plugin de sauvegarde automatique. C’est toujours bien de sauvegarder régulièrement ton site WordPress.

Je reviendrai dans un prochain article sur l’installation du plugin Wordfence et du plugin Updraft.

1 – Sécurise ton site WordPress en rendant inaccessible l’accès à /wp-login.php

Quand tu souhaites travailler sur ton blog comme écrire des articles ou mettre à jour tes plugins, tu passes par /wp-login.php ou /wp-admin pour accéder à ton site WordPress, n’est-ce pas ? Les pirates font la même chose.

Moi, par exemple, quand j’ai envie de vérifier qu’un site est monté sous WordPress, je rentre /wp-login.php. Par exemple, le site du joueur de tennis Lucas Pouille est créé sous WordPress :

Ah, j’ai tellement envie …

Même Rafael Nadal a créé son site internet sous WordPress. Comment je le sais ? En rentrant https://rafaelnadal.com/wp-login.php sur ma barre de navigateur URL.

Maintenant, quand on essaye de faire sur mon site internet, le résultat est différent.

You can not pass!

Comment procéder ?

Pour cela, je te demande d’installer : FileZilla et NotePad ++

a – Créer ou modifier le fichier .htaccess

  • Avec FileZilla, tu vas accéder à ton FTP. Si tu n’as pas ou si tu as oublié l’accès au dossier FTP, deux solutions : voir avec ton hébergeur ou regarder dans tes mails en recherchant « FTP ».
  • Puis tu vas dans ton fichier racine (souvent www). Si jamais tu remarques qu’il y a le fichier .htaccess, tu glisses de droite à gauche (du serveur à ton ordinateur). Sinon, tu crées le fichier .htaccess dans ton ordinateur.
  • Tu vas copier le code suivant et le mettre dans ton fichier .htaccess à l’aide de NotePad++ :
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{HTTP_COOKIE} !^.cookie-admin-blog=505123425.$ [NC]
RewriteRule wp-login.php - [F]
</IfModule>
# END WordPress
  • Et tu ramènes le fichier .htaccess modifié à ton serveur FTP.

b – Créer le fichier XXX.php

Ici, XXX = thedoor. Mais tu peux mettre un autre nom si tu as envie.

  • Dans ton fichier, tu vas créer le fichier thedoor.php
  • Tu ouvres avec NotePad ++.
  • Une fois le fichier ouvert, tu vas ajouter le code suivant :
<?php
setcookie("cookie-admin-blog", 505123425);
header('Location: wp-login.php');
?>
  • Tu enregistres et fermes.
  • Puis tu vas ajouter ce fichier dans le dossier FTP via FileZilla.

Une fois l’opération faite, tu verras qu’il n’est plus possible pour toi d’accéder à ta page de connexion en rentrant /wp-admin ou /wp-login.php sur le navigateur URL.

DO NOT PANIC! Pour accéder à la page de connexion WordPress, tu dois rentrer comme ceci :

Tonblogousite.xx/thedoor.php ou Tonblogousite.xx/XXX.php

Conséquence : les personnes qui ne connaissent pas ce chemin d’accès ne pourront plus accéder à ta page de connexion. En particulier, les pirates ne pourront plus pirater ton site en rentrant /wp-login.php.

Avec cette opération, ton site est plus sécurisé que 90% des autres sites WordPress.

2 – Sécurise ton site WordPress en changeant ton identifiant de connexion

Cette partie te concerne si jamais ton identifiant de connexion est admin. Et elle te concerne aussi si tu as envie de créer un autre profil d’utilisateur dédié à la rédaction (et je te le conseille).

Cela se déroule en 2 temps, dans la partie « Dashboard » de ton site WordPress. Assure-toi d’avoir en ta possession un deuxième compte email, lorsque tu vas créer un nouveau utilisateur.

  • Tout d’abord, tu vas dans la partie « Utilisateurs »
  • Puis tu ajoutes un nouveau utilisateur en cliquant sur ajouter
  • Tu sélectionnes le rôle Administrateur
  • Tu te déconnectes
  • Tu te connectes avec ton autre compte Administrateur
  • Tu retournes sur la partie Utilisateurs et tu supprimes le compte que tu ne souhaites plus
Premier utilisateur : mon identifiant de connexion (et non, vous n’aurez pas mon précieux !). Deuxième utilisateur : Vincent, l’Auteur

Dans l’image ci-dessus, tu peux constater que j’ai 2 utilisateurs : Administrateur et Auteur. En effet, quand je publie, je publie toujours sous le nom Auteur et non Administrateur sous peine de dévoiler l’identifiant de connexion sous chaque article.

En modifiant ton identifiant de connexion, tu compliques la tâche des pirates de manière significative. Plus de risque de te faire pirater, tu as sécurisé ton site WordPress.

Conclusion :

Nous avons vu dans cet article :

  • Comment rendre inaccessible la page /wp-login.php ou la page /wp-admin pour la plupart des visiteurs
  • Comment changer ton identifiant de connexion

Sache qu’avec ces 2 opérations, mon site ainsi que les sites de mes clients n’ont plus eu de tentative de connexion. Et franchement, quand tu sais que tu as sécurisé ton site WordPress, tu peux dormir tranquille !

N’hésite pas à partager d’autres astuces pour sécuriser son site WordPress en commentaire ! Et si tu as besoin d’une refonte de ton site Internet, tu peux toujours me contacter ici !

Laisser un commentaire

Your email address will not be published. All fields are required.