Incroyable. C’est le terme que j’utiliserai pour qualifier le nombre de piratage de sites sous WordPress auquel j’ai déjà eu à faire. 6 ans bientôt que je suis dans la blogosphère française et que j’utilise WordPress, à titre personnel ou professionnel, et durant cette période j’ai essuyé au moins une centaine piratages de plus ou moins grande envergure et tout autant de tentatives. Mais à l’issue de ces différentes vagues de piratage on apprend de ses erreurs, et j’ai décidé de partager aujourd’hui avec vous quelques conseils afin de prévenir le piratage de votre site WordPress et tenter d’éviter toute perte néfaste à votre activité.
Conseil 1 : Choisir un bon hébergeur
Si votre maison s’écroule lors d’un tremblement de terre il faudra en discuter avec la société chargée de réaliser vos fondations. Pour un site Internet c’est pareil. Le premier rempart au piratage de votre site web est votre hébergeur. Afin de prévenir une tentative de piratage il est important de bien choisir son hébergeur ainsi que son offre d’hébergement. Choisissez en priorité un hébergeur qui propose des sauvegardes hebdomadaires ainsi que des sauvegardes dites incrémentales quotidiennes. Certains hébergeurs mettent aussi en avant certaines options de sécurité comme une protection contre le bruteforce, les injections, ou encore les attaques par déni de service. Un hébergement mutualisé est souvent une bonne solution lorsqu’on ne s’y connait pas assez en sécurité car l’hébergeur y impose des règles strictes. Pour ceux qui ont déjà des bases techniques, un hébergeur comme 1&1 propose des serveurs dédiés puissants dotés de bons outils de protection. Assurez-vous également la performance des serveurs qui hébergeront votre site et de la rapidité d’intervention de l’équipe technique de l’hébergeur en cas de problème.
Conseil 2 : Bien installer son WordPress
L’équipe de développeurs derrière WordPress n’est pas dupe. Elle sait parfaitement que son gestionnaire de contenu n’est pas parfait et qu’il contient des failles, qu’elle ne pourra pas corriger instantanément. Néanmoins il existe plusieurs étapes simples qui permettent de sécuriser l’installation de votre site sous WordPress :
- Choisir des mots de passe (FTP/BDD/ADMIN) contenant au moins 8 caractères dont une majuscule, une minuscule, un chiffre, et un symbole
- Changer l’URL par défaut de l’administration de WordPress
- Configurer des clés de cryptage dans le fichier wp-config
- Changer le préfixe des tables de WordPress dans la base de données
En réalisant ces 4 étapes au moment de l’installation de votre WordPress, vous vous protégerez déjà de la plupart des attaques. Alors faites-le !
Conseil 3 : Bien utiliser son WordPress
Il faut concevoir WordPress non pas comme un simple gestionnaire de contenu mais comme un programme informatique qui contrôle et modifie vos données. Lorsque vous y installez des plugins par exemple, vous donner accès à ces plugins à un ensemble de fonctionnalités sur votre hébergement et votre base de données afin qu’ils puissent fonctionner correctement. Mais si ces plugins ne sont pas mis à jour et contiennent des failles, ils représentent des portes d’entrées grandes ouvertes. Contrôlez les plugins que vous installer en vous renseignant sur leur fonctionnement et en lisant plusieurs avis, ne laissez pas installés des plugins non utilisés, et mettez à jour votre installation WordPress et vos plugins le plus rapidement possible.
Conseil 4 : Installer des plugins de sécurité
Une protection des plus simples à mettre en place sur WordPress est un htaccess sur le dossier de votre administration. Il devient inaccessible sauf pour celui qui dispose de l’identifiant et du mot de passe, et permet d’éviter les attaques par Bruteforce. Ensuite, de nombreux plugins WordPress existent afin de sécuriser au mieux votre site WordPress et de surveiller par exemple l’état des fichiers ou la présence de code malveillant. Je vous conseille l’excellent plugin WordPress Anti-Malware, mis à jour très fréquemment, qui scannera votre installation à la recherche de plusieurs centaines de types de virus et d’injections utilisées pour pirater les sites WordPress.
Conseil 5 : Sauvegarder souvent son site
Afin de sauvegarder un site sous WordPress il suffit de : rapatrier le dossier wp-content et rapatrier un export de la base de données. Pour ce faire vous pouvez soit passer directement par votre hébergeur si celui-ci propose une solution de sauvegarde efficace, le faire manuellement si vous en avez les compétences, ou faire encore une fois appel à un ou plusieurs plugins WordPress qui permettront de programmer des sauvegardes automatiques de votre installation vers un espace de stockage en ligne, sur votre disque dur, ou directement sur votre espace d’hébergement.
Le piratage c’est comme toutes les mauvaises choses, on s’en préoccupe vraiment que lorsque ça nous arrive. Il est donc je pense, si vous tenez à votre site, indispensable d’appliquer tous ces conseils et de rester vigilant, pour pouvoir utiliser votre site en toute sérénité.
Besoin d’un conseil suite à un piratage ou envie de discuter de ce sujet ? À vos commentaires !
Comments