Rome, 9 h 30. Après avoir fini mon petit déjeuner, je m’installe sur la terrasse de l’hôtel pour bosser sur mes blogs. 

Mais sur l’un d’entre eux, impossible de me connecter. Mon mot de passe n’est plus le bon. Je pense d’abord à un bug, quitte la page, recommence… 

Même résultat. C’est désormais certain : je me suis fait hacker mon blog. 

Après avoir paniqué 5 minutes et insulté l’espèce de ******** qui m’a piraté mon site internet, je décide de faire appel à un codeur professionnel pour restaurer l’ensemble de mes données. 

4 jours. 

Il a fallu 4 jours pour que mon blog se remette à fonctionner. 4 jours pendant lesquels je ne gagnais pas d’argent avec, car la totalité du site était hors service. Sans compter la rémunération du développeur : 800 euros. 

Ce jour-là, j’ai pris conscience d’une chose : plus jamais je ne négligerai la sécurité de mes blogs. Surtout qu’aujourd’hui, on peut se protéger de 99 % des attaques en quelques cliques. 

Voici donc 5 techniques que m’a donné ce développeur web, qui se trouvait être enfant un ancien hacker. Protéger son blog avec ces conseils vous permettra d’être serein par rapport à la sécurité de vos bébés, et de vous enlever un souci de l’esprit. 

C’est parti. 

Votre mot de passe comme premier rempart

Les hackers utilisent des algorithmes qui essaient de s’identifier dans un maximum de site WordPress. Ils utilisent une base de données des mots de passe les plus fréquents comportant plusieurs dizaines de milliers de combinaisons. 

L’année dernière, plus de 5 millions de mots de passe ont fuité. Les mots de passe les plus utilisés ont donc été dévoilés : 

Voici donc comment doit se composer votre mot de passe : 

Pensez également à utiliser des mots de passe différents. En 2013, lorsque 3 milliards de comptes Yahoo ont été piratés, imaginez si vous aviez le même mot de passe pour tous vos comptes. Les hackers auraient eu accès à vos comptes Amazon, Apple, banque en ligne, Google… Pour peu que votre carte de crédit fût préenregistrée, et c’était la catastrophe ! 

protéger son blog

2- Bloquez les attaques de force brutes

Lorsque je pars en voyage, je prends toujours une petite valise cabine avec un cadenas comportant un code à 3 chiffres. 

Si un voleur mettait la main sur ma valise, la seule manière de l’ouvrir sans outils serait de tester toutes les combinaisons possibles. 

Avec 3 molettes comportant des chiffres de 0 à 9, cela fait 1000 combinaisons possibles. À raison de 2 secondes par essai, le voleur ouvrira ma valise en une grosse demi-heure seulement. 

Cette méthode pour trouver un code est appelée attaque par force brute. Et des milliers de sites WordPress en subissent les assauts, tous les jours. Le hacker ordonne au logiciel de tester des milliers de combinaisons de mot de passe par seconde. 

Ce genre d’attaque se repère facilement en regardant le nombre de tentatives de connexion réalisées. 

Comment se protéger de ce type d’attaque ? 

C’est très simple. Il vous suffit de télécharger le plug-in "iThèmes Security". Cette extension est gratuite, et diablement efficace. Je l’installe dès lors que je crée un nouveau blog. 

Une fois téléchargée, rendez-vous dans le module protection de force brute locale. 

itheme security

C’est ici que vous pouvez paramétrer le nombre d’essais de mot de passe avant le blocage et sa durée de l’adresse IP concernée. 

Par exemple, vous pouvez choisir de mettre 10 tentatives de connexion erronée, et de bloquer l’adresse IP 5 minutes. 

Avec ce type de paramétrage, une attaque par force brute devient impossible, car trop longue à construire. 

Vous voyez, pas besoin d’être développeur web pour protéger son blog. 

3- N'utilisez jamais le compte "admin"

 Rappelez-vous ce que je vous disais quelques lignes plus haut. Les hackers essaient de rentrer dans votre blog en craquant votre mot de passe sur la page de connexion de votre blog. 

Sauf que… si vous vous créez un autre compte utilisateurs, et que vous supprimez le compte admin, les hackers auront beau essayer pendant des heures, ils n’y parviendront pas. Car le compte admin n’existera pas. 

Voici comment vous créer un autre compte administrateur et supprimer votre compte admin : 

Dans le menu utilisateur, cliquez sur ajouter : 

protéger son site internet

Créez un nouvel utilisateur avec un identifiant connu de vous seul. Choisissez le rôle "administrateur" et cliquez sur "ajouter un utilisateur". 

administrateur wordpress

Il suffit alors de vous déconnecter et vous reconnecter avec votre nouveau compter admin. Retournez alors dans l'interface utilisateur, et supprimez votre compte admin de base. 

Le tour est joué !

4- Changez le lien de connexion wp-admin

Pour vous connecter à votre blog, vous utilisez sans doute l’URL par défaut, à savoir : https://votredomaine/wp-admin

Cette URL est celle par défaut. C’est là-dessus que les pirates essayent de se connecter à votre blog par des attaques de force brute. 

En modifiant cette URL, seuls vous la connaîtrez. Vous serez l’unique personne au courant d'où se trouve la porte d’entrée de votre site internet. 

Pour ce faire, nous allons de nouveau utiliser un plug-in gratuit. Installez "Hide My WP". 

Une fois installé, dans "levels of security" cliquez sur "light mode". 

changer wp-admin wordpress

S'affiche alors le champ "admin settings". C'est ici que vous allez pouvoir remplacer "wp-admin". Par exemple, si vous voulez vous connecter à votre blog via l'URL https://votreblog/connexion, vous devrez saisir "connexion" dans le champ prévu : 

sécuriser son blog wordpress

Et le tour est joué ! Les hackers n'auront aucune idée d'où se trouve la porte pour rentrer dans votre blog. Les attaques de forces brutes ne seront même pas possible. 

5- Attention aux plugins que vous installez

Pour commencer, essayez de n’installer que les plug-ins indispensables. De nombreuses attaques se basent sur les plug-ins contenant des failles de sécurité. 

Les plug-ins sont développés par des tiers et non par les développeurs de WordPress. Les enjeux de sécurité ne sont donc pas toujours pris en compte. 

Pour éviter de tomber sur des plug-ins douteux, ne choisissez que ceux ayant plusieurs milliers de téléchargements. 

Ainsi, vous serez sûr de leur fiabilité et qu’ils seront régulièrement mis à jour. 

Attention : si vous êtes tombé sur des sites web vous proposant d’avoir des plug-ins payant gratuitement, ne le faites surtout pas ! 

Vous risquez de vous retrouver avec un plugin espion permettant de pirater votre site de l’intérieur. 

Protéger son blog : à vous de jouer 

Je sais que la plupart d'entre vous ne changerons rien après avoir lu cet article. Pourtant, vous avez tort. J'ai négligé la sécurité de mes blogs, et j'en ai fait les frais. 

C'est comme les assurances. On prend la moins chère, jusqu'au jour ou un dégât des eaux détruit notre salle de bain. 

C'est seulement à partir de ce moment qu'on s'oriente vers une assurance plus complète. 

Alors, avant de subir le même sort, agissez. Prenez les devants. Anticipez. 

Vous éviterez de perdre des journées de travail entières, et de l'argent.

Recois gratuitement : 

50 idées de niche de blog à louer

50 idées de niche de blog rentable pour trouver ton idée de premier blog

se faire des sous etudiant

5 vidéos de formation offerte pour apprendre es bases du blogging

  • Je viens d’installer Jetpack, c’est nickel ! Aujourd’hui on a même plus besoin de savoir coder, on a des solutions toutes faites, c’est cool ça