Alerte Maximale : Des intrus risquent de pénétrer dans votre espace web !

Sécuriser son blog wordpressSi vous utilisez wordpress, il est essentiel de lire cet article sur les méthodes pour sécuriser son blog un minimum.

Et ce n’est pas le jour ou cela arrive qu’il faut y penser (car il est généralement trop tard et comme on a pas fait de sauvegarde, on est dans la m…).

Faites aussi très attention lorsque vous téléchargez un thème ou un plugin sur un site autre que le site officiel wordpress car ils peuvent contenir des codes malveillants.

J’en parlais déjà dans un article sur l’installation de thèmes wordpress.

Alors, prenez une demi-heure et verrouiller dès maintenant votre blog wordpress contre les instrus.

SECURISER SON BLOG WORDPRESS : A FAIRE AVANT DE COMMENCER

Cela prend un peu de temps, mais avant toute intervention, je vous recommande de faire une sauvegarde complète de votre blog :

  • Uploadez l’ensemble des fichiers de votre blog avec Filezila
  • Exportez et sauvegardez votre base de donnée depuis l’admin de votre hébergement web

N’hésitez pas à me signaler en commentaires si vous éprouvez des difficultés pour effectuer vos sauvegardes.

 

Mettre à jour son blog wordpress

Il est important d’avoir la dernière version de wordpress pour corriger les bugs et les failles de sécurité. Donc si vous n’êtes pas à jour dans vos mises à jours, je vous conseille de commencer par là. Si vous utilisez l’hebergement OVH, vous pouvez le faire via l’admin de votre blog et lancer la mise à jour automatique. Pour moi, cela a toujours bien fonctionné (à moins que vous n’ayez une très ancienne version…)

Profitez en aussi pour mettre à jour tous vos plugins et votre thème également.

!!! Attention aux mises à jours des thèmes car cela annule les modifications des fichiers que vous auriez pu faire (si biensur vous avez fait des modifications dans le code). Les blogueurs avertis modifient au minimum le fichier de style css !!!

Mais comme vous avez une sauvegarde complète des fichiers, vous pourrez recharger vos versions personnalisées de certains de vos fichiers ;-)

 

Remonter le pont levis de votre admin wordpress

Il faut que votre identifiant et votre mot de passe pour rentrer dans votre admin wordpress soient sécurisés. C’est à dire qu’il ne faut pas que votre identifiant soit admin ou votre nom par exemple, mais plutôt un identifiant composé de chiffres et lettres, majuscules et minuscules. Le mot de passe devra être constitué lui aussi de chiffres et de lettres mais également de symboles tels que $ ! / %. Ce sera un bon début et donnera du fil à retordre à vos assaillants.

Dans le cas ou vous avez fait une installation en 1 clic avec OVH, ou que vous avez choisi comme identifiant «admin » (l’identifiant ne peut pas être modifié), il vous faudra recréer un nouvel utilisateur avec un identifiant et un mot de passe sécurisés et surtout de bien lui appliquer les droits administrateurs. Il suffit ensuite de supprimer l’ancien compte administrateur et d’attribuer les articles déjà publiés au nouvel utilisateur. Cela se passe dans l’onglet « utilisateur » sur le menu de droite de votre admin wordpress.

Voilà l’accès à votre admin wordpress est en béton. Pour le transformer en béton armé, il va falloir modifier le fichier .htacces. C’est un fichier accessible à la racine de votre blog avec filezila. Je vous conseille de télécharger ce fichier à 2 endroits de votre ordinateur et travailler sur un seul (pour avoir une sauvergarde du fichier original au cas ou).

 
Copier coller ce code dans votre fichier .htacces avant « # END WordPress », en l’ouvrant avec le bloc note :

<Files wp-config.php>

order allow,deny

deny from all

</Files>

<Files .htaccess>

order allow,deny

deny from all

</Files>

Options All -Indexes

Enregistrez le fichier en lui donnant comme nom « .htaccess » (ne vous trompez pas dans la syntaxe et n’oubliez pas le  » . « devant) et envoyez le sur le serveur. Cela permet d’interdire l’accès à votre fichier config, votre fichier htacces, et vos répertoires.

Un plugin intéressant pour faire un chek up sécurité est WordPress Security Scan . Il vous indiquera les éventuels faiblesses de votre blog et comment y remedier.

Si vous n’avez pas modifier le prefixe de votre base pendant l’installation (par défaut wp_), vous pourrez facilement le modifier grâce à WordPress Security Scan

 

Et un conseil, faites des sauvegardes régulièrement !

Je vous parlais déjà de ce plugin de back-up dans ma liste de plugins essentiels pour wordpress. Il s’agit de wp data base backup, qui vous enverra automatiquement et régulièrement par email, une sauvegarde de votre base de données. A installer et paramétrer dès que possible !
Et maintenant, vous pouvez vous détendre…

 

Free images from FreeDigitalPhotos.net

 



Une formation complète et gratuite pour installer, créer et monétiser un blog wordpress
Volume 1 : Comment installer rapidement et facilement un blog wordpress
Volume 2 : Comment attirer un grand nombre de visiteurs sur son blog wordpress
Volume 3 : Comment rentabiliser et monétiser son blog wordpress

Remplissez le formulaire et
recevez gratuitement la formation
complète en 3 volumes
pour apprendre à créer et
rentabiliser un blog wordpress

Inscription formation wordpress

PRENOM :


EMAIL :

Vie privée respectée, email protégé

7 comments

  • Il a bien raison car il existe des failles de sécurité sous wordpress

  • En fait, la sécurité d’un WordPress commence avant même l’installation ! Il est impératif de définir un nouveau préfix pour les champs de la base de données et surtout ne pas choisir « admin » comme pseudo du 1er membre !

    Ensuite, je dirai qu’il faut surtout se méfier des plugins que l’on installe car c’est eux qui contiennent des failles de sécurité et non pas le core de WordPress :)

    Pour faire des backups automatique, si vous souhaitez une alternative sans plugin, je vous conseille ce script => https://github.com/GeekPress/WP-BackUp ^^

    • Salut et merci pour le partage de ces scripts. Je vais tester ça en particulier pour le backup des fichiers.

      Pour le préfixe de la base de donnée, cela se configure avant d’installer un blog wordpress, dans le fichier config.php. Sinon le plugin WordPress Security Scan permet de mofifier le prefixe très facilement si le blog est déjà installé.

  • Il est aussi important de bien vérifier la sécurité des plugins qu’on installe et de les maintenir à jour.

  • Je suis perdue dans remonter le pont levis de votre admin WordPress. Qu’est ce que ça veut dire : »bien lui appliquer les droits administrateurs? Il faudrait que je fasse tout cela au plus vite mais cela me parait difficile.

    • Bonjour Geneviève,

      Pour créer un nouveau compte admin sur wordpress, allez sur « Utilisateurs / Ajouter ».

      Choisissez un identifiant complexe et un mot de passe à indicateur de sureté élevé.

      Les droits administrateur se règle dans la case role : choisissez « Administrateur »

      Une fois le compte validé, connectez-vous avec vos nouveaux identifiants et allez dans « Uitilsateurs / Tous les utilisateurs » et supprimez l’ancien compte.

      A+

    • Merci John. ça y est c’est fait j’ai bétonné mon identifiant et mon mot de passe !!!
      Par contre j’en suis à uploader mes fichiers avec Filezila et exporter sauvegarder ma base de donnée depuis l’admin de mon hégergement web ! Là je patauge je sais pas comment faire. A bientôt.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

CommentLuv badge