13 astuces pour protéger wordpress des hackers


, Mis à jour le 2 septembre, 2015

13 astuces pour protéger wordpress des hackers

En raison du nombre incessant des tentatives de piratage des sites construits avec Worpdress, nous continuons à mettre l'accent sur l’importance de sécuriser en premier lieu le panneau d'administration Wordpress. Nous avons compilé dans cet article quelques mesures de sécurité que vous pouvez utiliser pour sécuriser votre blog WordPress et prévenir tout genres d’intrusions des hackers.

La liste des conseils à suivre

Ne vous sentez pas obliger de suivre d'appliquer tous ces conseils, mais vous pouvez en choisir certaines et les implémenter dans votre site . Plus on implémente de dispositifs de sécurité, plus c'est difficile pour les pirates de hacker votre site wordpress.

1. Créer des liens de connexion personnalisés

Il est très évident que pour accéder au panneau d'administration WordPress, tout ce qu'on a à faire est de taper l'url du site avec /wp-login.php. Maintenant, si vous avez utilisé le même mot de passe dans plus qu'un endroit, et qu’il a été compromis ailleur, alors il est facile pour le hacker de pirater votre site. Un plugin appelé Stealth Login vous permet de créer des URL personnalisées pour la connexion, la déconnexion, l'administration et l'enregistrement. Vous pouvez également activer "le mode furtif" (Stealth mode), qui empêche les utilisateurs d'accéder directement à la page wp-login.php. Vous pouvez ensuite définir votre url de connexion à quelque chose de plus énigmatique. Cela ne sécurisera pas votre site web parfaitement, mais si quelqu'un parvient à deviner votre mot de passe, il serait difficile pour eux de trouver où se connecter. Cela empêche également les bots des hackers qui sont utilisés pour des intentions malveillantes d'accéder à votre fichier wp-login.php et tenter de s’y introduire.

sécuriser Wordpress avec l'extensions stealth mode

2. Choisissez un mot de passe fort

Il s'agit d'une étape très évidente, mais il faut comme même le mentionner. Il est fortement recommandé de ne pas utiliser le même mot de passe dans d'autres endroits. Utilisez des mots de passe différents et difficiles à deviner. Utilisez le générateur de mot de passe de WordPress à votre avantage et rendez votre mot de passe plus fort. Une autre chose que vous pouvez faire est de changer votre mot de passe régulièrement, même s'il arrive que quelqu'un devine votre mot de passe, il l’en sera inutile une fois que vous l’avez changé.

sécuriser Wordpress avec un mot de passe fort

3. Limiter les tentatives de connexion

Parfois, les pirates peuvent penser qu'ils connaissent votre mot de passe, ou qu’ils pourraient développer un script pour le deviner. Dans ce cas, ce que vous devez faire est de limiter le nombre de tentatives de connexion. Vous pouvez facilement le faire en utilisant le plugin appelé Limit Login Attempts qui verrouille quiconque qui a entré le mauvais mot de passe un nombre de fois qui est déjà spécifié par l’administrateur. Ils seront bloqués pendant un certain temps. Vous pouvez contrôler les paramètres via votre panneau wp-admin.

limiter le nombre de tentative de connexion wordpress

configuration limiter le nombre de tentative de connexion wordpress

4. Utilisez une page de connexion sécurisée par SSL

url sécurisée avec ssl pour se connecter à wordpress

Vous pouvez vous connecter au panneau d'administration WordPress de façon cryptées et sécurisées par un certificat SSL. Cela signifie que votre URL de session commencera par https:// au lieu de http://. Vous devez vérifier avec votre hébergeur de site si vous avez le droit à un certificat SSL partagé, si non vous pouvez en acheter un. Ensuite, ce qu’il vous reste à faire est d’ajouter le code suivant dans votre fichier wp-config.php:


define(’FORCE_SSL_ADMIN’, true);

Il existe également un plugin appelé Admin SSL qui est capable de forcer l'utilisation de SSL sur toutes les pages. Ce plugin rend la tache des pirates plus facile.

5. protéger le répertoire wp-admin avec un mot de passe

Il n'y a rien de mal à avoir deux mots de passe. Cela ajoute un autre niveau de sécurité à votre zone d'administration WordPress. Ceci peut être réaliser avec l’aide d’une extension wordpresse appelée AskApache Password Protect. Ce plugin crypte votre mot de passe et crée le fichier Htpasswd préconfiguré. Vous pouvez également utiliser cPanel pour sécuriser le répertoire wp-admin avec mot de passe.

 askapache pour sécuriser wordpress et bloquer les hackeurs

6. Limiter l'accès en fonction de l'adresse IP

Vous pouvez limiter l'accès à votre panneau wp-admin et n’autoriser l’accès qu’a certaines adresses IP. Tout ce que vous avez à faire est de créer un fichier .htaccess dans le dossier /wp-admin/. Collez le code suivant:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>

order deny,allow
deny from all
# autoriser adresse IP de Simon
allow from xx.xx.xx.xxx
# autoriser adresse IP de Patrice
allow from xx.xx.xx.xxx
# autoriser adresse IP d’Amelie
allow from xx.xx.xx.xxx
# autoriser adresse IP de Monique
allow from xx.xx.xx.xxx
# autoriser adresse IP de Seb
allow from xx.xx.xx.xxx
</LIMIT>

Il vous suffis de modifier l'adresse IP pour que ça fonctionne. L'inconvénient de ce hack, c'est que si jamais vous voulez accéder au panneau d'administration d'un autre endroit, vous ne serez pas en mesure de le faire, sauf si vous ajoutez cette adresse IP supplémentaire dans votre fichier htaccess.

7. Ne jamais utiliser "admin" comme le nom d'utilisateur

Il s’agit du premier utilisateur créé lors de l’installation de WordPress. Vous ne devez jamais utiliser ou conserver cet utilisateur. Parce que c’est le nom d’utilisateur le plus visé par les attaques de type Brute Force. Vous devez créer un autre utilisateur en utilisant votre panneau d'administration WordPress, et lui attribuer les rôles d'administrateur. Utilisez un nom qui est difficile à deviner. Ensuite, supprimez l'utilisateur admin.

8. Retirez le message d'erreur sur la page de connexion

enlever les messages d'erreurs dans la page connexion de wordpress

Lorsque vous entrez un mauvais mot de passe ou un nom d'utilisateur, vous obtenez un message d'erreur dans la page de connexion. Donc, si un pirate obtient une bonne réponse pour l’un ou l’autre, le message d'erreur l’aidera ainsi à l’identifier. Par conséquent, il est recommandé de supprimer carrément ce message d'erreur. Ouvrez le fichier functions.php situé dans le dossier de votre thème et collez le code suivant:


add_filter('login_errors',create_function('$a', "return null;"));

Un plugin WordPress appelée Secure WordPress accomplit la même chose. Il offre aussi d'autres fonctionnalités.

9. Utilisez un mot de passe crypté pour vous connecter

Lorsque vous n'avez pas activé le site avec un certificat sécurisé SSL, cette méthode devient pratique. Il existe un plugin qui vous permet de faire cette tache facilement. il s’agit de l’extension Semisecure Login Reimagined. Semisecure augmente la sécurité du processus de connexion en utilisant une clé publique RSA pour crypter le mot de passe sur le côté client. Le serveur décrypte ensuite le mot de passe crypté avec une clé privée. Le JavaScript est nécessaire pour accomplir le cryptage.

10. Protection AntiVirus de WordPress.

AntiVirus pour WordPress est une solution intelligente et efficace pour protéger votre blog contre les attaques et les injections de spam. Une des particularité de ce plugin est le test manuel avec un résultat immédiat des fichiers infectés, et le contrôle automatique quotidien avec notification par email.

11. Restez à jour avec la dernière version de WordPress

Rester à jour avec la dernière version de WordPress, car après la sortie de chaque nouvelle version, WordPress annonce également les bugs et les failles de la version précédente. Des informations d’une grande importance pour les pirates et la sources de malheurs pour plusieurs webmaster qui tarde à mettre à jour Wordpress.

12. One Time Password

One Time Password est une extension Wordpress qiu vous permet de vous connecter à votre blog WordPress en utilisant des mots de passe qui sont valides pour une seule session. Les mots de passe unique aident à prévenir le vol de votre mot de passe WordPress principal lorsque vous vous connectez à partir d’endroits publique, comme les cafés internet.

13. WordPress Firewall Plugin

WordPress Firewall Plugin Détecte, intercepte et enregistre les activités qui semblent douteuses. Il les empêche ainsi de compromettre WordPress. Il protège aussi la plupart des plugins WordPress à partir des mêmes attaques. Vous pouvez éventuellement le configurer pour qu’il se charge le premier afin d’assurer une sécurité maximale. Il vous donnera la possibilité d'envoyer un email avec pleines d'informations utiles sur les deniers blocages d'attaque réussis  et bien plus encore.


comments powered by Disqus

Comment changer un domaine principal wp multi-site

Comment changer un domaine principal wp multi-site

Si vous voulez changer le domaine principal de l'installation de votre WordPress multi-site, il y a 5 valeurs à modifier. Vous n’aurez pas besoin d'effectuer une dump de base de données. Ceci est en fait désapprouvé parceque WordPress enregistre des données en séries, et la modification de cela peut … Continuer

Publié le 8 octobre, 2016

0 Commentaires
Supprimer le spam dans wordpress

Supprimer le spam dans wordpress

L’augmentation des commentaires spams dans WordPress devenant un problème, vous vous retrouvez peut-être avec des centaines, voire même des milliers de commentaires en attente que vous avez à supprimer. Malheureusement, l’installation de base de WordPress vous laisse seulement supprimer en masse les … Continuer

Publié le 8 mai, 2016

0 Commentaires
Optimiser la base de données de Wordpress avec Cron

Optimiser la base de données de Wordpress avec Cron

Nous avons déjà souligné l’importance d’avoir une base de données simple et optimisée pour votre site web WordPress pour accélérer la performance de votre site. Après un certain temps, les tableaux MySQL deviennent encombrés et exigeront grandement quelques réparations et travaux d’entretien. Comme … Continuer

Publié le 24 janvier, 2016

0 Commentaires
Comment protéger wp-config.php

Comment protéger wp-config.php

Il est triste de constater à quel point de nombreux sites WordPress sont incroyablement faciles à pirater. Beaucoup d'entre eux ne sont même équipé de la dernière version. Cependant, l'un des fichiers parmi les plus dangereux et les plus sensibles dans WordPress est le wp-config.php. Ce fichier cont … Continuer

Publié le 21 octobre, 2015

0 Commentaires
Comment changer un site html en un site Wordpress

Comment changer un site html en un site Wordpress

Récemment, sur un forum que je fréquente, une vieille connaissance m’a demandé comment convertir un de ses anciens sites Dreamweaver vers WordPress, sans que cela ne lui demande trop d’effort. J’ai d’abord pensé que ce serait impossible de faire cela facilement, mais après avoir vu d’autres réponses … Continuer

Publié le 13 juillet, 2015

2 Commentaires
Comment ajouter un bouton donation dans Wordpress

Comment ajouter un bouton donation dans Wordpress

Il y a un grand nombre de sites web qui offrent des logiciels gratuits ou autres services libres de droit (open source). Les développeurs font beaucoup d’efforts pour nous fournir des outils spécialisés pour divers besoins. Les plugins WordPress sont eux-mêmes un bon exemple. Regardez le nombre d’ad … Continuer

Publié le 11 juillet, 2015

0 Commentaires
Comment installer SSL dans Wordpress

Comment installer SSL dans Wordpress

Tous les jours, nous révélons des informations personnelles sur internet. Rien que pendant la dernière heure, j’ai utilisé ma carte de crédit, acheté un livre, sauvegardé une copie de l’adresse de mes amis, envoyé des mails et fait quelques courses. Partager nos informations est devenu tellement co … Continuer

Publié le 28 février, 2015

0 Commentaires



Les avis des clients

Avis des utilisateurs


Faites entendre votre voix. Passez en revue votre fournisseur d'hébergement Web - bon ou mauvais.


La première fois que je suis aller sur ex2hosting, je pensais que la personne à droite en bas était un robot. Je me suis trompé Mathieu et jimmy sont bien réels et pratiques pour résoudre tous types de problème autant de facture que de configuration de logiciel pour serveur. Bonne continuité à vo …

geraldinformatique.com à propos Ex2hosting

Montrer une autre revue
Lire les avis Ex2hosting



Plans d'hébergement




Les plans d'hébergement de 59 sociétés d'hébergement partout dans le monde


Meilleur hébergeurs web

# hébergeur web prix action

1

Ikoula

1.95 EURO

Ajouter un Avis
Visiter

2

Siteground

6.95 USD

Ajouter un Avis
Visiter

3

Ex2hosting

3.99 EURO

Ajouter un Avis
Visiter

4

Inmotion

5.95 USD

Ajouter un Avis
Visiter

5

Webhostinghub

4.95 USD

Ajouter un Avis
Visiter

6

Bluehost

6.95 USD

Ajouter un Avis
Visiter






Hébergeurs par avis de clients

Ex2hosting
78 avis des clients
Nuxit France
70 avis des clients
Hostpapa France
67 avis des clients
1and1 France
62 avis des clients
Rapidenet
50 avis des clients
Ajouter un avis Tous les profils


Hébergeurs par fidélité de clients

Ex2hosting
73 / 78 recommandé
Nuxit France
68 / 70 recommandé
Rapidenet
49 / 50 recommandé
Infomaniak France
48 / 48 recommandé
Hostpapa France
39 / 67 recommandé
Évaluer hébergeur Tous les profils


Question de la Semaine


Le plus important critère de votre hébergeur



Contacter l'éditeur

Posez votre question