Mes actions pour sécuriser des sites wordpress

Comment sécuriser son site wordpress

blank

Se faire pirater : ça n’arrive pas qu’aux autres

Selon Google, le nombre de sites piratés dans le monde au augmenté de plus de 35% en 2019 par rapport à l’année précédente. Les attaques viennent du monde entier, et elles sont automatisées. Il s’agit de programmes malveillants qui scannent automatiquement de grandes quantités de sites pour en trouver les failles.

Et cela arrive bien plus souvent qu’on ne le pense : je reçois des alertes, provenant des sites que j’ai créé, et signalant des tentatives de pénétration provenant  de Russie,  de Chine, du Mexique, du Brésil, d’Amérique et même de France. Fort heureusement, grâce aux actions que je mets en place, ces tentatives restent inefficaces et les robots malveillants continuent leur route…

Quel est le but du piratage?

Cela consiste principalement à créer de nouvelles pages indésirables sur le site. Il s’agit de tactiques frauduleuses pour travailler le référencement naturel d’un autre site. Ces pages redirigent généralement l’utilisateur vers des contenus externes, tels que des sites pornographiques ou des sites proposant des contrefaçons.

Parfois également, ces pages sont organisées en imitant l’architecture du site infecté afin de passer inaperçu. Dans d’autres cas, elles ne s’affichent que sur mobile. Cela pose problème car si vous ne visitez votre site que sur un ordinateur de bureau, il peut s’écouler des mois avant que vous constatiez le problème. Il peut aussi mettre de la pub sur votre site pour gagner de l’argent grâce aux visites.

Ce contenu indésirable a évidemment un effet gênant pour vos visiteurs, qui constate immédiatement qu’il y a un problème sur le site et du coup le quitte, mais la chose encore plus grave est son effet sur le référencement naturel de votre site. Google ne tardera pas à s’en rendre compte et à le signaler dans les résultats de recherche par une petite mention « Il est possible que ce site ait été piraté » du plus bel effet et du coup de mettre directement « Votre connexion n’est pas sécurisée ».

Mieux vaut donc prévenir ce genre de problème en sécurisant votre site au maximum, d’autant plus qu’une fois qu’un site est piraté, le remettre sur pied peut relever du parcours du combattant car il faut trouver les modifications du piratage et les supprimer, pire ils peuvent réussir a mettre des fichiers dans la racine de votre thème et de vos plugins.

Comment je sécurise votre site WordPress

Voici un résumé des actions que j’entreprends pour sécuriser un site WordPress.

Je mets régulièrement le site à jour. C’est probablement l’action la plus importante pour minimiser sa vulnérabilité. Je ne parle pas de mettre à jour son contenu mais tous les outils et fichiers qui lui permettent de fonctionner correctement, à savoir :

  • WordPress, votre thème et les extensions utilisés sur votre site. D’où l’intérêt de travailler avec un thème conçu par un constructeur de confiance qui fournit des mises à jour régulièrement.
  • Pour les extensions. J’évite dans la mesure du possible toutes les petites extensions avec même pas 10 000 activations et je préfère choisir les plus populaires, donc les plus fiables, payantes s’il le faut, qui assurent des mises à jour régulières, vous pouvez aussi en trouver sur des sites spécialisés dans les extensions premium.
  • Je nettoie le serveur en supprimant tous les outils qui ne servent plus.
  • Je nettoie la base de données régulièrement pour éviter une surcharge.
  • J’oblige les utilisateurs de votre site à conserver des mots de passe complexes. Il seront certes impossible à retenir, mais vous pourrez soit les copier-coller, soit autoriser votre navigateur à les garder en mémoire.
  • Je configure une extension de sécurité pour bloquer les attaques sur le site et mettre une sécurité concernant le nombre de tentative de connexion.
  • Je configure une autre extension qui me permet de changer l’adresse de connexion à l’administration du site et de cacher dans la mesure du possible qu’il s’agit d’un site wordpress

Enfin, même si toutes ces actions ont bien été mises en place, gardez en tête que le risque zéro n’existe pas. C’est pourquoi j’effectue des sauvegardes régulières de tout le contenu du serveur et de la base de données sur mon ordinateur qui lui même a 2 sauvegardes journalières. Grâce à cela, on pourra toujours revenir vers une version récente du site en cas de pépin.

Un petit conseil il faut eviter d’utiliser l’identifiant de connexion Admin car trop facile mais par exemple Chalicn_47?541zBZ.

Vous avez été victime d’un piratage ou souhaitez protéger votre site pour éviter ce genre de problème ? Contactez-moi !

Mes autres articles

Partager mon article

Facebook
LinkedIn

Ajouter un commentaire

Votre adresse email ne sera pas publiée. Les champs requis sont indiqués *