Vous êtes ici : Accueil | Comment sécuriser un site WordPress en 2017

Vidéo : Comment sécuriser un site WordPress en 2017



Transcription de la vidéo :

Salut les Cuistots et bienvenue dans cette nouvelle vidéo dans laquelle on va voir quelque chose de très important, à savoir, la sécurité d’un site WordPress.

Allez c’est parti !

[intro]

Alors, je ne sais pas si vous suivez les actualités de WordPress, mais en tout cas les dernières semaines ont été très chargées, parce qu’il y a eu une vague de piratages qui a atteint des dizaines de milliers de sites, si ce n’est plus et du coup la presse, informatique en tout cas, en a parlé pas mal.

D’ailleurs, j’en ai aussi parlé au sein d’un live Facebook la semaine dernière. Abonnez-vous à la page Facebook pour suivre les différents « Live ». Je vais essayer d’en faire régulièrement pour vous informer de différentes choses de WordPress, mais aussi vous parler d’autre chose, donc voilà.

Maintenant, on revient à la sécurité.

Alors, comment faire pour sécuriser correctement son site. C’est vrai que c’est une vaste question, cette vidéo n’a pas prétention de répondre à tous les types de sécurisation, mais en tout cas je vais vous en donner 8 principales qui vous permettront d’être à l’abri, dans la plupart des cas, parce qu’on ne peut pas tout couvrir, vous savez bien qu’aucun système informatique n’est invulnérable.

Il y a bien des boîtes comme Sony qui se font pirater ou même Apple, sur lesquels on peut pirater les téléphones, etc. Aucune personne ou entreprise n’est vraiment à l’abri, mais on va essayer avec cette vidéo de vous protéger au mieux.

Alors la première chose à faire que je recommande pour sécuriser un site WordPress, c’est tout d’abord de choisir un bon hébergeur.

L’hébergeur c’est vraiment le socle sur lequel tout va reposer et c’est pour cela que je recommande o2switch, vous avez pu déjà en entendre parler j’imagine.

Alors o2switch est une entreprise française comme vous le savez, mais en tout cas, au niveau de la sécurité, ils mettent vraiment un point d’honneur à filtrer un maximum de choses au niveau de leurs offres d’hébergement.

C’est-à-dire que, s’il y a des pirates qui essayent d’accéder à votre site, ils vont les bloquer d’abord en amont, avant que ça arrive sur votre WordPress, donc là vraiment c’est super intéressant de travailler avec des hébergeurs comme ça. Alors après, je n’ai pas « creusé » tous les autres hébergeurs, il y a des hébergeurs comme WP Engine ou peut être WP Serveur qui font pas mal de choses aussi de ce côté-là. Mais en tout cas si vous voulez gérer votre site vous-même, je vous recommande d’opter pour o2switch et au moins, pas mal de choses seront filtrées.

Après vous pouvez aussi opter pour le service CloudFlare qui permet d’ajouter une couche de sécurité supplémentaire : on peut filtrer des attaques, on peut aussi bannir des gens qui proviennent de certains pays, donc ça peut permettre de limiter les attaques à partir de ces pays, par exemple, la Chine ou d’autres…

Mais bon, on ne va stigmatiser personne !

Le deuxième conseil de sécurité que je peux vous donner, c’est tout simplement de faire les mises à jour, c’est vraiment quelque chose d’indispensable pour se protéger des failles, à chaque fois qu’une nouvelle version de WordPress sort et bien il y a des correctifs de sécurité qui sont rajoutés pour éviter, ben voilà, que votre site soit piraté et donc les failles sont comblées, c’est vraiment important de mettre à jour son site.

Dernièrement je suis tombée sur un site WordPress qui était encore en version 3.6, c’est vraiment catastrophique de voir un site qui tourne encore sur cette version de WordPress, c’est comme si vous laissiez les clés de votre maison à votre voisin, que vous disiez à tout le monde de venir, là franchement, il faut vraiment mettre à jour votre site.

Pour revenir à la vague d’attaques dont je parlais au début de la vidéo, ça concerne la version 4.7 et 4.7.1 de WordPress.

Si vous êtes encore dans des versions, mettez absolument à jour en 4.7.2.

Et si vous regardez cette vidéo très longtemps après sa publication, mettez à jour à la dernière version de WordPress, c’est vraiment capital.

Voilà, maintenant on va pouvoir passer aux conseils un petit peu plus pratiques pour sécuriser son site.

Le troisième conseil, c’est de ne pas utiliser l’identifiant « admin » pour se connecter à son site.

Alors maintenant, c’est vrai qu’on peut le définir lors de l’installation, mais il se peut que vous ayez encore un identifiant qui s’appelle « admin », donc là changez-le absolument parce que c’est l’ancien nom par défaut et il y a encore beaucoup de sites qui l’utilisent et les pirates peuvent donc le deviner assez facilement.

Enfin, la deuxième partie de ce troisième conseil, c’est d’utiliser des mots de passe forts.

Ne mettez pas des mots de passe du genre « 1 2 3 4 5″ ou le nom de votre femme, de votre copain ou de votre chien, c’est vraiment des choses qui sont très faciles à deviner ou même très faciles à casser, donc opter vraiment pour quelque chose de complexe.

Alors, pour récapituler, un nom d’utilisateur différent d' »admin » et un mot de passe sécurisé.

Quatrième conseil !

J’ai l’impression d’être un peu passe partout dans Fort Boyard !

Quatrième conseil de sécurisation d’un site WordPress : c’est de changer l’adresse de la page de connexion à l’administration.

Vous le savez, par défaut, pour se connecter à l’administration, il suffit d’aller sur /wp-admin ou alors d’allez sur /wp-login.php.

Ces pages sont régulièrement la cible de robots qui vont essayer de se connecter automatiquement, d’ailleurs avec l’identifiant admin, je l’ai encore eu sur mon blog personnel il n’y a pas si longtemps que cela.

Donc voilà, en changeant la page de connexion à l’administration, on peut éviter justement que ces robots tentent de s’y connecter automatiquement.

Alors pour ça, je vous conseille une extension, une petite extension qui s’appelle « Move Login » et qui est vraiment bien pratique.

On peut définir un chemin automatique pour connecter.

Je vais vous montrer ce que ça donne sur mon site de test

Là c’est dans réglages => Move Login, j’ai déjà installé l’extension, je ne vais pas vous montrer comment faire,

et là, la page de connexion de ce site s’appelle désormais « paricilesamis », donc il faudra se rendre sur : là c’est test.wpmarmite.com/paricilesamis

et ensuite vous mettez « redirigez tout vers la page d’accueil » pour wp-login.php et la zone d’administration, comme ça vous serez tranquille.

Alors maintenant cinquième conseil de sécurisation de WordPress et bien on va rester sur la page de connexion, mais cette fois, si par malheur un pirate arrive à deviner l’url de votre page de connexion, il pourra toujours tenter de se connecter en boucle.

Alors maintenant ce que l’on va faire, c’est que l’on va essayer de le bloquer au bout d’un certain nombre de fois.

Alors pour ça, vous pouvez utiliser l’extension « Limit Login Attemps Reloaded », juste ici

Et après je crois que c’est dans réglages => Limit Login Attemps, vous pouvez paramétrer à partir de quand la personne sera bloquée.

Donc là, au bout de 4 tentatives c’est bon ça marche

Et à la cinquième tentative : BIM ! Vous êtes bloqué, vous ne pouvez plus vous connecter.

Là il faudra attendre 20 minutes et si on est bloqué 4 fois, on est bloqué pendant 24 heures.

Après vous pouvez changer les paramètres si vous le souhaitez, mais là déjà les réglages par défaut c’est pas mal.

Après juste en dessous, vous pouvez mettre des IP sur liste blanche et sur liste noire, mais bon, rien qu’en installant l’extension, c’est déjà pas mal.

Sixième conseil sécurité, c’est encore une extension, là vous n’avez rien à faire, il suffit de l’installer.

Et cette extension s’appelle Block Bad Queries

Alors qu’est-ce que cette extension va faire ? Et bien, tout simplement, elle va bloquer toutes les url que l’on peut taper dans son navigateur.

Donc là juste ici ! On peut taper des url un petit peu spéciales qui permettent de pirater un site,

et donc cette extension va aider à bloguer tout ça.

Alors je ne dis pas que ça va tout bloquer, mais ça va vraiment bloquer les plus communes et donc c’est vraiment toujours bon à prendre.

On est parti avec la septième astuce de sécurité, là c’est un petit peu plus ardu parce que ça concerne le fichier .htaccess, donc vous allez devoir « bidouiller » ce fichier, qui se trouve à la racine de votre installation de WordPress

Je ne vais pas vous montrer comment faire directement, mais en tout cas je peux vous conseiller cet article de la Marmite qui recense pas mal de modifications de ce fichier .htacess

et donc ici, à la racine du site, normalement, protection contre les menaces.

Regardez, il y a plusieurs morceaux de codes à copier/coller donc là adaptez-les en fonction de vos besoins,

mais je vous invite à bien regarder l’article pour y voir un petit peu plus clair et choisir les meilleurs outils de sécurisation.

Donc par exemple, on peut protéger le fichier de configuration de WordPress, pour éviter qu’il soit accessible de diverses manières, donc voilà, je vous conseille d’aller jeter un oeil à cet article.

Alors le huitième et avant-dernier conseil – oui parce qu’il y a un conseil bonus – on en parle tout de suite

Donc c’est l’installation de l’extension SecuPress, qui est une extension gratuite, mais qui a aussi une offre premium, mais en tout cas l’extension gratuite permet de faire pas mal de choses

SecuPress, comme vous pouvez le voir sur la page d’accueil, une fois que vous l’aurez installé, vous donnera un score de sécurité, c’est une note : A B C D E F ou ça va peut être même plus loin

et vous pouvez avoir une protection vraiment presque parfaite,

parce que ce sont des experts sécurité français qui ont fait ça : Julio Potier et Grégory Viguier, vous les connaissez peut être, ils bossent chez WP Média.

Ils ont créé cette extension qui couvre vraiment beaucoup de choses, ça couvre d’ailleurs ce que l’on a vu, les précédents conseils que l’on a vus auparavant, mais il y a encore d’autres choses qui sont beaucoup plus techniques et cette extension permet de les corriger vraiment assez rapidement en quelques clics

Donc voilà, on peut voir que SecuPress permet d’éviter les intrusions, d’éviter le vol de données, d’éviter qu’on vous pourrisse votre réputation sur Internet et aussi on vous aide à faire en sorte que votre business reste en ligne

parce qu’un site piraté, c’est un site qui ne fonctionne pas, c’est un site qui ne fait pas de ventes ou qui ne ramène pas de prospects.

Donc voilà, je vous encourage à vous rendre sur SecuPress.me, pour avoir plus d’informations et pour pouvoir télécharger l’extension

Elle est également sur le répertoire officiel des extensions de WordPress, bien sûr vous trouverez tous les liens dans la description.

Et enfin le dernier conseil, le conseil bonus pour vous aider à sécuriser votre site et bien c’est tout simplement de le sauvegarder !

Ce n’est pas une mesure de sécurité, ça ne vous permet pas de vous protéger d’attaques, mais ça va vous aider à revenir sur le devant de la scène si jamais vous vous faites pirater ou si vous avez un problème tout simplement avec votre site.

Alors, il existe pas mal de solutions de sauvegarde. Celle que je recommande c’est la plus connue, c’est Updraft Plus

Elle est utilisée par presque un million de personnes, enfin un million de sites, et donc voilà, je vous la recommande, elle n’est pas si simple à mettre en place parce que l’ergonomie est un peu pourrie ! Il faut le dire !

Mais en tout cas c’est vraiment très pratique ça marche bien et je vous la recommande vraiment

Et si vous voulez aller plus loin, j’ai fait un petit atelier vidéo, une petite formation, qui vous aide à creuser ça en détail.

On y verra notamment de quoi se compose une sauvegarde, on verra qu’il y a deux parties d’une sauvegarde à ne pas négliger, on verra aussi qu’est-ce qu’une bonne solution de sauvegarde

Updraft Plus c’est bien, mais il faut savoir le configurer correctement pour être à l’abri dans la plupart des cas, enfin pour couvrir tous les cas être capable de restaurer son site quoiqu’il arrive

et ça, ce n’est pas parce que vous avez installé une solution de sauvegarde que ça sera possible tout le temps.

Il faut savoir restaurer son site malgré tout, pour pouvoir revenir en ligne le plus vite possible.

Et on verra aussi une extension de sauvegarde qui est peu connue, que j’utilise sur la Marmite et qui marche vraiment très bien, elle permet d’avoir un historique de 30 jours et surtout c’est gratuit

Donc je vous explique tout cela dans la formation

Vous trouverez le lien et les modalités juste en dessous.

Voilà, merci d’avoir suivi cette vidéo, j’espère que vous avez pu apprendre pas mal de choses sur la sécurisation d’un site WordPress et en tout cas ben voilà

je compte sur vous pour passer à l’action et sécuriser votre site

En attendant, je vous donne rendez-vous dans une prochaine vidéo,

Abonnez-vous à la chaîne YouTube pour être tenu au courant des prochaines vidéos

On a passé les 2.000 abonnés : MERCI BEAUCOUP MERCI A TOUS

L’aventure continue, je vous donne rendez-vous la semaine prochaine pour une nouvelle vidéo et comme je vous le disais, rendez-vous aussi sur la page Facebook pour avoir des « Live » de temps en temps, sur des sujets divers, sur les thèmes, les extensions ou sur les actualités de WordPress.

Sur ce je vous dis à très vite et à bientôt, tchao !



Si vous avez apprécié cet article, inscrivez-vous à la newsletter

Recevez gratuitement les prochains articles et accédez à des ressources exclusives. Plus de 10000 personnes l'ont fait, pourquoi pas vous ?

C'est parti, je m'inscris !

10 Thèmes Gratuits et Responsive pour 2017Ça m'intéresse
+ +
Partagez
Tweetez
Partagez