Comment protéger votre site WordPress du piratage

Les nouvelles ont récemment montré qu’il est facile de pirater un site basé sur WordPress. Voici quelques façons de protéger votre blog.

Mettez à jour régulièrement WordPress

Une des solutions les plus faciles à mettre en oeuvre, mais souvent négligée, pour protéger WordPress est d’effectuer des mises à jour régulières du logiciel. L’inconvénient est que certains de vos plugins peuvent cesser de fonctionner après la mise à jour, mais vous pouvez profiter de cette occasion pour rafraîchir vos plugins ou en trouver de nouveaux plus sûrs et fiables.

Les mises à jour, même si parfois fastidieuses (surtout si cela fait quelques temps que vous n’aviez pas fait de mise à jour), sont vraiment importantes pour la sécurité et la stabilité de votre installation. En effet, de nombreuses mises à jours mineures sont réalisées sur le logiciel, justement pour corriger des failles de sécurité et améliorer WordPress (et cela vaut également pour les plugins et thèmes).

Installez un plugin de connexion sécurisée pour protéger WordPress

proteger-wordpressAfin de vous protéger lorsque vous vous connectez sur votre site, cherchez un plugin de connexion sécurisée, comme WordPress ne dispose pas de cette fonction par défaut. Utilisez un plugin qui vous donne un certificat de sécurité protégeant votre nom d’utilisateur et votre mot de passe.

D’autres mesures de protection de connexion comprennent l’installation d’un plugin CAPTCHA solide. Certains plugins astucieux demandent aux utilisateurs d’entrer des lettres soulignées dans une expression plutôt que de déchiffrer des images de texte brouillées ou de faire des calculs.

Ici sur Aventure-Personnelle c’est le plugin Captcha qui est utilisé. Il demande de résoudre une opération simple avec des chiffres et/ou des lettres.

Enfin, vous pouvez acheter un certificat SSL comme le Symantec Certificat SSL qui garantit le transfert des données sensibles lors de la connexion.

Cachez « Powered by WordPress »

Vous pouvez rendre les choses plus difficiles pour les pirates en évitant d’annoncer le fait que votre site est « Powered by WordPress ». Par défaut, cette information se trouve dans le fichier footer.php, que vous pouvez trouver sur le tableau de bord, en sélectionnant Apparence > Editeur (pour faire des modifications dans la fenêtre du navigateur). Différents thèmes nécessiteront différentes méthodes pour supprimer ce texte, vous devez donc faire des recherches en ligne pour trouver la meilleure approche.

Par contre selon n’empêche pas les petits malins de vérifier que votre site est sous wordpress en regardant le code source. En effet la plupart des WordPress ont la même structure et dès que vous trouvez un préfixe « wp-« , vous pouvez être sûrs à 99% que vous êtes sur un WordPress.

Par contre, il existe un plugin pour masquer/remplacer la version de votre WordPress qui permet d’éviter d’afficher au vue de tous votre version WordPress, information qui pourrait potentiellement aider à pirater votre site.

Changez le nom d’utilisateur de l’administrateur

Les pirates peuvent accéder à votre site en utilisant un logiciel qui va tenter de multiples connexions en utilisant des mots et expressions courantes comme mots de passe, couplés avec une sélection de noms d’utilisateurs évidents comme « admin », le nom d’utilisateur par défaut de WordPress.

La meilleure solution est de choisir, dès l’installation de votre site, un nom d’utilisateur différent de « admin ». Si ce n’est pas le cas vous pouvez utiliser les méthodes suivantes :

  • Une des méthodes pour changer le nom d’administrateur consiste à créer un second compte administrateur avec un nom d’utilisateur difficile à deviner, puis supprimer l’utilisateur d’origine. N’oubliez pas, par contre, d’assigner vos articles, pages, etc au bon utilisateur à la fin de cette manipulation.
  • Changer le nom d’utilisateur « admin » une fois votre WordPress installé : là ça devient un peu plus galère pour ceux qui n’ont pas l’habitude. En fait il faut passer par la base de données et changer admin dans la table wp-user. Bien sûr, faites une sauvegarde avant toute modification !

Et voilà, que pensez-vous de ces quelques astuces pour sécuriser votre blog ?

Article sponsorisé.

A propos kategriss

Passionnée de web, je vous propose de construire votre visibilité sur Internet. Vous aimeriez un site internet à petit prix ? Obtenez un site professionnel (one-page, vitrine, newsletter...) rapidement et facilement.
Lien pour marque-pages : Permaliens.

77 Commentaires

  1. Bonjour,

    Je recommanderai aussi l’installation des plugins « Secure WP » et « Login LockDown ». Le premier exécute une série de tâches qui protègeront votre blog et le deuxième limite le nombre de tentatives d’accès à votre blog.

    A bientôt. 🙂
    Chafik

  2. Je ne suis pas persuadé que le fait de cacher le « Powered by WordPress » change quoi que ce soit, si ce n’est, ne plus être en conformité avec la licence WordPress.. Il suffit de regarder la source de la page pour savoir qu’il est propulsé par WordPress.

    Limiter l’accès au répertoire wp-admin par le fichier .htaccess, ne pas utiliser l’utilisateur avec les droits admin sauf si nécessaire en créant un autre utilisateur avec moins de droits, pour éviter de se faire pirater son mot de passe admin.

    Bouger le fichier « wp-config.php » pour qu’il ne soit plus dans le répertoire racine.

    Modifier ses mots de passe régulièrement, me paraissent plus efficace.

  3. Bonjour,

    merci pour ces multiples astuces et un grand merci aussi à benoit dans les commentaires car je commençais vraiment à flipper pour un de mes sites wordpress.

    Je crois que la meilleure solution reste de changer régulièrement de mot de passe. Existe t-il un plugin qui permet la génération d’un nouveau compte administrateur ou simplement le mot de passe exemple tous les 15 jours et qui envoi les nouvelles données par e-mail à l’admin car je commence à me perdre dans tous mes changements mais j’ai assez peur aussi d’être piraté.

    merci

  4. Merci pour ces informations. J’avais un nouveau projet et ça me sera utile.

  5. j’ai un problème pour mon siteweb ou il y a eu des attaques sur Adsense j’aimerais bien avoir une astuces ou une sécurité pour adsense de mon site, dans la journée il y a plus de 30 – 40 click …. possible Wp secure peut sécurisé mon adsense, merci

  6. Bonjour,

    Pour ma part, installation de Wordfence qui reprend la plupart des fonctions dont vous parlez dans l’article et les commentaires, laisser le premier identifiant des utilisateurs en ‘Abonné’ et créer un autre compte admin (les hackers injectent souvent un login et mot de passe dans le premier utilisateur qui est souvent admin), ne pas avoir de compte ‘admin’ comme administrateur et le top, de bons et nombreux backups 🙂

    Pour durcir, il y a aussi la protection de wp-login.php par un htaccess

    Benoît, le fait de cacher “Powered by WordPress” est simplement un moyen d’éviter les requêtes de hackers à la recherche de blogs hébergés sous wordpress pour tenter de rentrer par une faille, pour vivre bien, vivons caché 🙂

    amicalement
    Patrick

  7. Bonjour,
    Merci pour cette astuce. Ce sera utile pour tout blogueur.

  8. J’ajouterai masquer la version de wordpress dans le code source des pages en utilisant le fichier fonction.php

  9. Bonsoir,
    merci beaucoup pour l’article et vos conseils surtout le dernier
    parceque c’est la premiere fois que je savais que les pirates utilisent de tel logiciels

  10. les astuces ne seront jamais de trop pour ce qui est de proteger nos oeuvres.merci pour l’article et à chafik

  11. astuce très intéressante. Je vais la partager ailleurs 🙂

  12. je suis débutant avec WordPress … et c’est astuce me sera utile

    merci pour cet article

  13. Bonjour,

    Cacher le « Powered by WordPress » est plutôt utile pour faire venir moins de spammeurs, mais au niveau sécurité, rien n’a craindre.

  14. C’est un plaisir de trouver des informations bien détaillées concernant la création WEB et spécialement la sécurité; vraiement la communauté Seo ne prive personne d’apprendre.
    Bonne continuation.

  15. C’est clair qu’avec les pirates aujourd’hui il faut vraiment se méfier surtout si tu utilises ton blog pour générer du revenu. Cet article est vraiment utile surtout pour ceux qui utilisent WordPress.

  16. Article très intéressant, les idées sont bien expliqués, ça sera très utiles pour mes futurs projets.
    Merci pour cette astuce et bonne continuation.

  17. les barrieres de protection de notre travail sont multiples.votre article en souligne des aspects non moins négligeables.Chafick a également evoqué les fruits de ses recherches dont il faut tenir compte.

  18. Bonjour,

    Merci pour les tuyaux surtout pour les plugins « SecureWP » et « LoginLockDown »! Je n’arrive pas à comprendre le but des pirates en s’introduisant dans les blogs! Il n’y a vraiment pas grand chose à pirater si ce n’est que d’insérer des pubs virales! Ces conseils me sont vraiment utiles car j’ai déjà été victime d’un piratage dans mon petit blog et ça a faillit totalement le ruiner! J’ai alors du le fermer pendant quelques temps en détruisant le lien! Bref, je vous remercie pour tous et à bientôt pour de nouveaux conseils, j’espère! 🙂

  19. Cet article est incroyablement complet, et je trouve que les différents astuces très efficaces je te remercie. Surtout que comme beaucoup de personnes, je pense, j’ai peur de me faire pirater et me sens complétement démuni. C’est peut-être pas grand chose, mais là, je me sens mieux

  20. Comme le dit Patrick, Wordfence est effectivement très bon et très complet, même si certains affirment que sa partie dédié au blocage des attaques par « brute force » est moins efficace que celle de Login Lockdown.
    A signaler aussi Better WordPress Secutiry, peut-être le plus complet de tous, mais il est assez difficile à prendre en main pour un novice (et gare à la consommation mémoire, votre hébergeur pourrait ne pas apprécier une mauvaise configuration de votre part !).

  21. Salut,

    je pense que ces conseils sont excellents et tombent à pic pour moi.

    Après que mon premier blog ait été piraté et toutes mes informations égarés, je cherchais un moyen de protéger le second.

    Amicalement,
    Samuel

  22. Internet va avec ses inconvénients il faut toujours etre sur ses gardes pour ne pas se faire avoir.
    Je pense que le fait de changer souvent son mot de passe pourrait sans doute être d’une grande sécurité.

  23. Ce sont bien entendus de très bon conseils qui sont donnés dans cet article. Ces précautions seront bien utiles surtout si l’on a pour but de monétiser son site. La mise en place des systèmes de sécurité et des identifiants sont de bonnes astuces ; sinon en ce qui concerne « Powered by WordPress » je suis du même avis que Benoit, il faut juste regarder la source pour le savoir, ou mieux encore ajouter juste wp-admin.

  24. Encore un article de qualité où on peut apprendre beaucoup de chose. merci pour ces conseils très utiles

  25. des pirates exploiteraient un botnet, soit un réseau de PC zombies contaminés par un malware, dans le but d’identifier les blogs WordPress dont le compte administrateur de base est nommé « admin ». A partir du moment où ce fait est établi, une procédure visant à « casser » le mot de passe via la « force brute » est engagée. ils sont malins!

  26. Merci pour cet article très instructif. Des astuces que je pense mettre en place rapidement pour avoir un niveau de protection plus élevé. Le fait de retirer « powered by wordpress » m’ennuie un peu, car wordpress étant sur un mode de fonctionnement gratuit je trouve normal de laisser une référence, je vais donc me tourner vers les autres solutions.

  27. Oui c’est vrai q’on a tendance à laisser le mot de paase par default de peur que l’on oublie , tellement on en a des mots de passe , et les pirate entre tous simplement par cette porte .
    Merci pour les astuces

  28. Julie, j’ai déjà été attaqué maintes fois et je peux te dire que même si ton compte ne contient pas un compte « admin », ils profitent d’une faille sur n’importe quel compte hébergé sur le serveur pour y déposer un script qu’ils lancent juste après.

    Ce script modifie toutes les premières lignes des tables ‘users’ de tous les sites en mettant « admin » et un mot de passe, ce qui leur permet d’entrer sur ton blog et faire ce qu’ils veulent.

    Une manière de les freiner est de créer un nouveau compte administrateur, s’identifier avec ce nouveau compte et de mettre le précédent uniquement en droits ‘abonnés’.

    Ainsi leur script modifie en une fois tous les premiers comptes WordPress qu’il trouve, mais quand il s’identifie sur le tien, ils sont simplement en mode abonné et ne peuvent donc rien faire. Comme c’est pas une attaque personnelle, ils passent rapidement au suivant vu que le jeu est d’en pirater un max…

    Patrick

  29. C’est un article intéressant, j’ai vraiment pris du plaisir à te lire!!! Je ne sais s’il t’es possible de détaillé le procédé dans le changement de la page par défaut de wordpress…

    En tout cas, ce que tu as publié là devrait déjà plaire à ceux qui cherchent à protéger leurs pages!!!

  30. Je viens de me faire pirater mon compte wordpress et je viens de me rendre compte, à la lecture de ton article, que je n’avais pas pris assez de précautions…

    Merci pour ces bons conseils que je ne manquerai pas d’appliquer pour ne plus me faire avoir à l’avenir…

  31. Merci Patrick pour ses amples explications j’avoue ne pas trop vous suivre quand vous parliez de table « user » mais grosso modo la solution est là : crée un nouveau compte administrateur et qu’il aille au diable ces hackers

  32. Je dispose d’un blog wordpress qui n’est pas très sécurisé. Je vais appliquer vos astuces pour éviter le piratage de mon blog mais avez-vous d’autres plugin que le « captcha » décrit dans le billet à me conseiller ? Je ne fais pas trop confiance à ces plugin qui demandent une opération simpliste à résoudre.

    J’ai lu sur un autre blog spécialisé SEO / wordpress que ces plugin étaient loin d’être infaillibles.

    Merci pour vos réponses
    Julie

  33. Presque tout bon mais encore quelques points à améliorer pour sécuriser encore un peu tout ca. Merci pour ces conseils

  34. J’ai un mot de passe et login qui n’est pas par défaut mais j’ai quand même subit régulièrement des attaques en brute force par centaines sur ces mots de passe.

    @chafik : merci pour Login LockDown, ca fonctionne a merveille !

  35. Merci pour cet excellent article très complet.

  36. Esmée, c’est un peu mon jargon, WordPress utilise une base de données Mysql et cette base est constituée de plusieurs tables, dont une qui gère les utilisateurs (users), avec PhpMyAdmin, on a accès à ces tables pour réparer certaines erreur comme remettre le bon mot de passe

    Patrick

  37. un bon niveau de sécurité si vous appliquez ces conseils, vous pouvez aller encore plus loin si vous renommer les dossier et de gérer les accès .
    Bon biller, très utiles pour les wordpressiens

  38. J’ai été victime de piratage sur mon WP et si j’avais eu la chance de lire au préalable votre article, une telle mésaventure ne me seait jamais arrivée.

  39. bonsoir,
    les mises à jour régulières sont le moyen le plus sur de protéger votre site wordpress

  40. @Patrick
    Merci énormément pour votre temps, votre réponse en conséquence,
    c’est la meilleure définition qu’on peut donner
    Vraiment j’apprécie votre retour:)

  41. Je cherche un plugin qui ajoute un captcha sur la page de login, je l’ai vu sur 1 ou 2 blogs, mais impossible de mettre la main dessus, avez vous une idée de son nom ?

  42. Merci pour ces précieux conseils, je cherchais comment modifier le login administrateur.

  43. S’il n’y avait qu’un seul conseil à retenir de cet article, c’est de tenir à jour WordPress. Mais, il faut peut-être se méfier aussi des plugins mal codés grâce auxquels le loup peut entrer dans la bergerie.

    Le seul plugin qu’il m’est arrivé d’installer, précisément pour sécuriser un blog, c’est AskApache Password Protect : http://wordpress.org/plugins/askapache-password-protect/

  44. En tout cas, ce que tu as publié là devrait déjà plaire à ceux qui cherchent à protéger leurs pages!!!

  45. Apparement il n’essaye plus de casser les mots de passe sur les comptes avec pour login le mot « admin », leurs librairies a évolué un peu, il essaye maintenant avec des logins du type « sysadmin » « master » etc …
    depuis 1 mois j’ai eu plus d’une dizaine d’attaques par jour sur mes wordpress, heureusement que je suis bien protégé

  46. @Lea : Si tu vas dans ton WordPress sur Extensions > Ajouter et que tu tapes Captcha dans la recherche prend le premier qui s’appelle simplement « Captcha ». Je n’ai pas eu de soucis avec et il permet de mettre un captcha sur les commentaires, l’inscription, la connexion…

  47. En tout cas, ce que tu as publié là devrait déjà plaire à ceux qui cherchent à protéger leurs pages!!!

  48. Merci pour l’article très instructif.
    La sécurité e votre blog n’est pas quelque chose que vous devez prendre au léger, faites de recherches et sécuriser votre blog utilisant tout les moyens possibles.

    @ bientôt
    Ismail

  49. Le souci c’est que WordPress c’est le CMS le plus utilisé, et que des techniques comme « Cachez « Powered by WordPress » », sont je pense malheureusement inefficace…

    La mise à jour est un des seuls moyens qui permettra d’éviter les intrusions.

    Néanmoins merci pour cet article, changer le compte admin est je pense une excellente solution.

  50. J’ai été victime de piratage sur mon WP et si j’avais eu la chance de lire au préalable votre article, une telle mésaventure ne me seait jamais arrivée.

  51. les mises à jour régulières sont le moyen le plus sur de protéger votre site wordpress

  52. Super article, merci beaucoup pour le partage! Le piratage est tellement omniprésent qu’il est indispensable d’avoir de bons outils pour sécuriser son blog !

  53. Merci pour ces infos, et le nom de ces plugins.
    Je n’ai jamais eu ce type de probleme jusqu’ a present, mais mieux prevenir que guerir.

    Bertrand

  54. admin”, leurs librairies a évolué un peu, il essaye maintenant avec des logins du type “sysadmin” “master” etc …

  55. C’est sympa de proposer un plugin de connexion sécurisée pour protéger WordPress et toutes ses failles… Il faut dire qu’il y a pas mal de sites piratés en ce moment :/ Déjà je pense qu’un captcha serait nécessaire… pour celles et ceux qui en ont pas.
    Armelle

  56. J’ai appris d’après un ami que mon blog est hacké. Il y a avait une injection. d’un code javascript dans le header pour avoir des liens rentrants. J’ai pas mis à jour mon blog cela a facilité le hacking du blog.

  57. Salut,

    Oui la sécurité de WordPress est un point très important lors de la construction de votre blog avec WordPress. Moi perso, j’ai fait beaucoup de recherche sur ce point et je n’ai pas fini ma recherche encore. Bon, il faut faire les mises à jour proposés par WordPress elle-même et pour les plugins de sécurité, j’utilise Better WP Security.

    Bon courage.

  58. j’aurrais du le savoir plutot je me suis fait piraté deux fois mon wordpress, merci pour ses info

  59. Super,
    merci pour les infos, aujourd’hui il faut être vigilant sur tout,
    au plaisir de vous lire

  60. merci pour cet article. N’étant pas vraiment calée en informatique, utiliser un plugin me rend les choses tellement plus faciles..

    Bonne continuation

  61. Je ne connaissais pas le coup des certificats de sécurité pour WordPress, merci pour cet article 🙂

  62. Bonjour,

    Ayant déjà été touché par un piratage, je me suis vite aperçu des erreurs que j’avais auparavant faites en laissant des failles dans la sécurité, maintenant j’ai mis à jour tous mes blogs et j’ai renommé certains dossiers et j’ai même installé secur WP.

    Merci pour tous ces conseils

  63. Une des solutions les plus faciles à mettre en oeuvre, mais souvent négligée, pour protéger WordPress est d’effectuer des mises à jour régulières du logiciel.

  64. Bon de mon expérience je vois que pour les blogs qui auraient potentiellement pu succomber à l’attaque, une vérification des fichiers peut s’avérer nécessaire pour s’assurer qu’aucun Malware n’a été installé entre la période de vulnérabilité et les mesures prises. Pour ce faire, rapatrier les fichiers en local et effectuer un scan à l’aide d’un antivirus peut être un bon début.

  65. Bonjour,

    aussi, le meilleur moyen de ne pas être piraté reste de ne pas télécharger de plugins wordpress dont la source n’est pas connue ou fiable. Trop souvent des sites se font pirater à cause de plugins wordpress. Dans une entreprise je connais, c’est souvent les sites joomla qui se sont piratés..

    Merci en tout cas pour cs conseils !

  66. Salut Kate,

    Je suis parfaitement d’accord avec toi, ces quelques astuces sont primordiales pour la sécurité d’un blog. En règle générale lorsqu’on démarre un ou plusieurs blogs on ne pense que rarement à la sécurité et même si on y pense un peu, on se dit qu’on a le temps mais parfois le temps vous rattrape et là, vous vous sentez bloqué, perdu face à la situation, parfois même désespérante 🙁

    J’en parle en connaissance de cause cela m’est arrivé 2 fois et lorsque que cela vous arrive un jour férié comme le jour de Noël (merci Papa Noël :D), je peux vous dire que cela met une grande pression !

    Vous cherchez des solutions mais rien de bon n’arrive… Bref, cela peut vite devenir une source de stress intense, ou même pire d’abandon.

    C’est pour cela que si j’avais un conseil important à donner : chercher les solutions de sécurité dès maintenant, ne remettez pas au lendemain car lorsque vous vous réveillez un beau matin en voulant mettre en application votre super plan d’action et que plus rien n’est opérationnel… Ca fait bien mal.

    Soyez proactifs, et installez dès maintenant un plugin que j’utilise comme Better WP Security par exemple, très bon plugin, testé et approuvé !

    Alors, si je peux vous être utile au moins dans le fait de vous convaincre de passer un peu de votre temps là dessus, je serai déjà content. Mais gardez à l’esprit qu’il faut régulièrement se renseigner sur le sujet car nous ne sommes quand même jamais à l’abri d’une intrusion, d’où l’utilité de ton article Kate 🙂

    Merci et à bientôt !

  67. Je vais pas être original… je suis tombé sur cet article suite à un … piratage de mon wordpress. Merci donc pour ces conseils qui vont m’aider à ne pas retomber sous les attaques d’un hacker tout de suite (enfin j’espère !)

  68. Bonjour,
    Je recommanderai aussi l’installation des plugins “Secure WP” et “Login LockDown”. Le premier exécute une série de tâches qui protègeront votre blog et le deuxième limite le nombre de tentatives d’accès à votre blog.
    A bientôt

  69. Je recommanderai aussi l’installation des plugins “Secure WP” et “Login LockDown”. Le premier exécute une série de tâches qui protègeront votre blog et le deuxième limite le nombre de tentatives d’accès à votre blog.

  70. Merci pour ces informations. J’avais un nouveau projet et ça me sera utile.

  71. Merci pour cette astuce. Ce sera utile pour tout blogueur.

  72. Merci je ferai des mises à jours régulières dorénavant, cela m’évitera tout piratage.

  73. On dit toujours qu’il faut mettre à jour WordPress pour la sécurité, mais plus d’une fois j’ai mis à jour WordPress et tout le blog a planté…
    Maintenant je ne mets plus le blog à jour, par contre je supprime tous les plugins qui sont désactivés et les thèmes que je n’utilise pas. Il paraît qu’il y a des soucis de sécurité à ce niveau-là aussi.

  74. On m’a piraté mon WordPress, c’est pour cette raison que je me suis retrouvée là. Merci beaucoup pour ces précieux conseils qui vont probablement me sauver la vie 🙂

  75. Je me suis battu pendant près de 3 mois pour enlever le piratage de mon site, et je peux vous dire que ça n’a pas été une mince affaire, je pense qu’il y a encore du code malicieux dedans, mais je le contourne avec une redirection …

  76. L’option protect de Jetpack est aussi très utile, permettant de blacklister une IP si elle tente de vous « bruteforcer » 🙂

  77. Merci pour vos conseils, complétés par les commentaires des internautes, je vais tester cela en espérant qu’ils fonctionnent encore, mais sinon je pense qu’il y aura des équivalents. Merci

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *