Sécuriser son site Wordpress
Il y a quelques semaines, je te partageais dans un article les raisons qui font que j’utilise Wordpress pour presque tous mes sites.
Je sais que c’est le cas de 90% des dirigeants de TPE. C’est un outil très répandu et simple à utiliser pour faire son site web.
C’est d’ailleurs sûrement ton cas.
Une remarque qu’on me fait souvent : “on m’a dit que Wordpress n’était pas sécurisé et que les sites se font pirater”.
A vrai dire, seule la deuxième partie de cette phrase est vraie.
On le sait tous, on a beaucoup plus de chances de prendre un virus sous Windows que sous macOS ou Linux. Pourtant cela ne vient pas du fait que Windows soit moins sécurisé.
Pour informations, Windows représente environ 85% de parts de marché en ce qui concerne les systèmes d’exploitation. Pour les pirates, il est largement plus intéressant de se concentrer sur ce secteur et de développer des virus pour cet OS.
Voilà pourquoi Windows est le plus sujet aux virus.
Il en est exactement de même pour Worpdress. Étant le plus gros CMS, c’est aussi le plus attaqué.
C’est également le plus mis à jour, ce qui permet de largement renforcer la sécurité globale.
Voici quelques conseils à suivre, si tu as un site Wordpress, pour éviter de te faire pirater.
Utilise un mot de passe fort
Dans la moitié des cas, quand je récupère un site piraté, un des mots de passe était trivial. Parmi les palmes j’ai eu :
-
admin/admin
-
test/test
-
user/user
Il faut bien comprendre qu’un robot a la capacité de tester des milliers de combinaisons par seconde.
Il lui faudra seulement quelques secondes pour trouver un mot de passe de 5 caractères avec seulement des lettres alors qu’il lui faut plusieurs années pour trouver un mot de passe de 16 caractères avec des minuscules, majuscules, des chiffres et des caractères spéciaux.
Installe des plugins de sécurité
Il existe de nombreux plugins qui garantissent la sécurité.
Le minimum à avoir est une option de “fail to ban”. Cela permet de bannir une ip pendant 24h lorsqu’elle a saisi plusieurs mots de passe erronés (par exemple 5).
On passe de milliers de tentatives possibles par secondes à seulement 5 toutes les 24h.
Fais les mises à jour
Que ce soit l’outil Wordpress ou les plugins, tu dois faire les mises à jour (surtout de sécurité).
Quand une mise à jour de sécurité est publiée cela veut dire qu’il y a une faille qui a été corrigée.
Ne pas faire la mise à jour à ce moment là, rend ton site très vulnérable. Dès que la mise à jour est publique, la faille l’est aussi et n’importe quel hacker saura l’exploiter.
Pense aux sauvegardes
Il n’est jamais possible de garantir une sécurité absolue.
Par contre, on peut toujours prévoir un plan B au cas où le plan A n’a pas bien marché.
En cas de site piraté, si tu as des sauvegardes régulières, tu pourras dormir sur tes deux oreilles.
Si tu as des inquiétudes sur la sécurité de ton site, je serais ravi de pouvoir échanger avec toi.