Skip to main content

l'avis de tes clients

ne compte pas QUE pour tes futurs clients

Beaucoup d’entrepreneurs m’ont déjà appelé parce que leur site WordPress a été hacké… Soit c’était très brutal (suppression totale des données du site), soit il était simplement redirigé vers une autre url, il arrive aussi que des pubs apparaissent (de celles interdites aux âmes sensibles) ou alors ce sont juste de « petites » modifications qui sont faites et qu’on ne repère pas tout de suite…

Dans tous les cas, quand on le voit, c’est déjà trop tard ! Avec un peu de chance, on a enregistré un backup du site et on peut le récupérer mais sinon ne reste qu’à contacter un expert en hacking pour nettoyer les fichiers du site un à un en espérant pouvoir récupérer le site…

Je t’entends te dire « Non mais moi j’ai une petite boutique, un petit site vitrine, ils n’ont pas d’intérêt à s’attaquer à moi… » FAUX ! En fait, le nombre de vues de ton site ou ta notoriété n’ont rien à voir avec tes chances de te faire hacker. Si ton site est ciblé, c’est qu’il est fait sur WordPress et que c’est « facile » de le faire avec des robots surentrainés dans ce domaine 💪

Quelles sont les points à sécuriser absolument sur un site WordPress ?

/wp-admin

L’accès à la page de connexion de ton interface de modification WordPress qui est toujours la même : « www.monsite.fr/wp-admin ».

De petits robots très malins sont donc entrainés à tester tous les sites qu’ils peuvent trouver en tapant le fameux « /wp-admin » après l’url pour savoir s’il s’agit d’un site WordPress ou non. Il ne leur suffira qu’à « tester » différents identifiants et mots de passe grâce à un logiciel pour « cracker » l’accès à tes données…

Comment résoudre ce problème ?

C’est assez simple, il suffit d’installer une extension du type WPS Hide Login et de changer cet accès en mettant n’importe quel autre nom qui n’a rien à voir : /connexionwordpress OU /monsitedamour…

01

l'identifiant admin1234

Si tu as créé ton site « automatiquement » en passant par WordPress ou ton hébergeur web (OVH par exemple). On va t’attribuer un identifiant commençant par « admin » suivi de 4 ou 5 chiffres aléatoires.

Ce qui réduit considérablement le temps de recherche pour les robots qui veulent cracker ton site : au lieu de milliards de combinaisons, il leur suffit de rentrer le admin puis de tester les combinaisons sur les 4 ou 5 prochains chiffres.

Il y a deux solutions pour faire face à ce problème :

– Installer WordPress de façon manuelle ou « personnalisée » pour définir soi-même son identifiant

– Changer son identifiant via son espace personnel : comptes/modifier le profil

Tu peux ensuite choisir le nom que tu veux en faisant attention à ce que ce ne soit pas trop « intuitif » pour les hackeurs (nom de ton entreprise, ton nom et prénom…).

02

Adresse mail du compte

Pour te connecter, tu as le choix entre mettre ton identifiant OU l’adresse mail lié à ton compte (ce qui est pratique quand tu n’as pas noté ton identifiant).

Le souci est que l’adresse mail de ton entreprise est facilement repérable par les robots ou hackeurs et qu’ils vont forcément essayer celle-ci pour se connecter sur ton compte.

Si possible, essaye d’opter pour une adresse mail « perso » ou « secondaire » pour réduire les chances qu’ils la trouvent.

03

Le mot de passe

Celui-ci est logique, mais pour rappel un mot de passe « compliqué » mettra plus de temps à être trouvé par les robots ou logiciels malveillants.

N’oublie pas d’inclure des majuscules, des chiffres et de la ponctuation : WordPress t’indique par un code couleur la difficulté de ton mot de passe et te mettra en garde s’il est trop faible en t’obligeant à cocher une case.

04

L'accès libre à tes fichiers sources

Certains fichiers de base de wordpress sont accessible assez facilement et peuvent donner des informations sur ton compte, ta base de donnée ou ton hébergement. Cela informe aussi sur les extensions ou le thème que tu utilises, ainsi que les versions de WordPress et de ton PHP.

Ces informations peuvent être utilisées pour exploiter des « failles » de sécurité. Il est recommandé d’utiliser des fonctions pour bloquer l’accès à ces fichiers ou le faire directement via ton FTP.

05

Ça ne suffit pas...

Ces derniers points bloquent la plupart des robots qui tenterons d’accéder à ton espace admin mais il y a d’autres moyens de l’atteindre. Je te conseille de bien tenir à jour ton site (MAJ WordPress, PHP, extensions, thèmes…) et si possible d’installer des extensions de sécurité pour bloquer les attaques ou sécuriser un peu plus ton site…

Tu es perdu là dedans ? Je peux t’aider à rendre ton site sécurisé et inaccessible aux robots ! Adopte-moi 😉