Si votre site est piratable, que risque-t-il de lui arriver? Le piratage existe et continuera d’exister.
Que votre blog soit le plus populaire dans un domaine particulier ou qu’il s’agisse d’un minuscule petit blog, vous devriez être préoccupés par les accès non autorisé à votre site.
La fausse idée la plus répandue, c’est que personne ne voudrait pirater votre site, mais c’est faux! Les motivations des pirates ne sont pas forcément claires, aussi c’est à vous de faire en sorte que votre site soit moins piratable, et ce, quelle que soit sa taille.
Piratable ou Sécurisé : Où en est votre site?
Il faut reconnaître que depuis le temps que l’on en parle, et pas uniquement sur ce site, il s’avère que de nombreux sites se font encore victime de piratage quotidiennement, des sites persos, des sites d’administrations ou de sociétés, tout est bon pour les pirates, tant qu’ils prennent du plaisir à casser.
Après un piratage, et sous réserve que vous ayez pris les précautions nécessaires, vous n’aurez qu’à rétablir une sauvegarde. Malheureusement, dans combien de cas, il n’existe aucune sauvegarde récente, et là, c’est la galère. Alors pourquoi ne pas éviter que votre site soit piratable?
Mieux vaut prévenir que guérir!
Mettons en pratique ce vieil adage, et voyons ensemble comment prévenir le piratage, avec 5 astuces pour éviter que votre site soit à la merci du premier pirate venu.
1- Utilisez des mots de passe sécurisés
L’amélioration de la sécurité de vos mots de passe, est probablement la façon la plus simple de protéger votre blog WordPress, et pourtant, cette simple action est trop souvent négligée.
Commencez avec un mot de passe fort qui combine lettres, chiffres et caractères spéciaux de plus de 15 caractères. Évitez tout ce qui est évident, comme les noms des parents, d’autres personnes importantes, ou les noms de vos animaux domestiques. Oubliez totalement « motdepasse » ou « password », et abandonnez l’idée d’utiliser « admin » comme nom d’utilisateur, faute de quoi votre site sera toujours piratable.
Maintenant, le problème ne provient peut être pas de votre mot de passe. Vos utilisateurs et les administrateurs doivent également suivre le protocole de mots de passe sécurisés. Vous devriez avoir une politique de mots de passe qu’ils doivent obligatoirement suivre. Et pour plus de sécurité, pensez à installer un plugin qui choisit des mots de passe forts pour eux.
Par exemple, Force Strong Passwords empêche vos utilisateurs d’utiliser des mots de passe faibles. Simple User Password Generator est un autre générateur de mots de passe sécurisés à l’usage de vos utilisateurs.
2- Authentification à deux étapes
L’authentification à deux étapes est une mesure de sécurité qui demande une seconde vérification, lorsqu’un utilisateur tente de se connecter à votre site à partir d’un périphérique inconnu. C’est un moyen simple d’empêcher l’utilisation non autorisée de votre site, elle limite les dégâts que quelqu’un pourrait faire s’il possédait votre mot de passe, et rend votre site plus difficilement piratable.
Supposons que quelqu’un tente d’utiliser votre mot de passe à partir de votre appareil, cette personne aurait également à saisir un code PIN qui est envoyé par email, ou via une application d’authentification. Ne recevant pas ce code, la personne aurait tendance à abandonner.
La grande majorité des pirates évitent les difficultés. Si cela devient trop coriace, ils préfèrent abandonner, mais ce n’est pas le cas pour tous, alors soyez prévoyant.
Bien sûr, l’authentification à deux étapes crée une phase supplémentaire lorsque vous voulez accéder à votre site à partir d’un autre ordinateur, mais cela ne représente rien par rapport aux dégâts occasionnés si votre site est compromis. Google, Apple, Facebook , Twitter et beaucoup d’autres utilisent ce type d’authentification pour protéger les informations des utilisateurs.
Vous pouvez ajouter l’authentification à deux étapes via un plugin, les plus populaires dans ce domaine étant:
3- Personnalisez l’URL de connexion
Dans la configuration par défaut, l’URL de connexion à un sites WordPress est /wp-login.php . Sachant cela, vous pouvez être assurés que les tentatives de piratage ne manqueront pas. Si de plus, le nom d’utilisateur est « admin », tout ce qu’ils leur restent à faire, est de trouver le mot de passe.
Changer votre URL de connexion, rendra plus complexe l’accès à la page de connexion, et la rendra ainsi moins facilement piratable. Bien qu’il existe plusieurs plugin pour vous aider à faire cela, c’est en fait assez facile de modifier le code vous-même.
Commencez par accéder à votre fichier .htaccess, et après en avoir fait une sauvegarde, juste avant la règle de réécriture WordPress, ajoutez le code suivant:
RewriteRule ^[Votre nouvelle URL de connexion]$ http://votredomaine.fr/wp-login.php [NC, L]
Où « votredomaine.fr » est le nom de votre domaine et « Votre nouvelle URL de connexion » est la nouvelle URL de connexion sécurisée que vous souhaitez mettre en place.
4- Limitez les tentatives de connexion
Les attaques de force brute se produisent quand quelqu’un utilise un script pour essayer de trouver votre mot de passe. Il s’agit d’essayer de se connecter à votre site, encore et encore. Même des mots de passe aléatoires peuvent éventuellement être découverts en utilisant cette méthode.
Vous pouvez lutter contre cela en limitant les tentatives de connexions à votre site. Brute Force Login Protection est un plugin qui vous aidera dans cette tâche. Vous pouvez choisir le nombre de tentatives autorisées pour un système d’adresse IP, ainsi que le temps maximum alloué aux tentatives de connexion, avant blocage.
5- Sauvegardes, sauvegardes et encore sauvegardes
Peu importe le type de sécurité mis en place autour de votre site, celui-ci restera toujours vulnérable aux attaques. Si quelque chose arrive, avoir une sauvegarde à jour de votre site devrait vous aider à le remettre sur les rails rapidement.
Vous pouvez effectuer vos sauvegardes via le panneau de contrôle de votre fournisseur d’hébergement, mais ne supposez pas qu’il le fasse pour vous. Il est également possible que cela ne soit pas inclus dans le coût de votre plan d’hébergement.
Si vous préférez vous occuper des sauvegardes, il y a pléthore de plugin, tels que BackupBuddy ou BackWPup, que vous pouvez utiliser. Les meilleurs d’entre eux vous proposent même de choisir la destination de stockage de vos sauvegardes.
N’oubliez pas qu’il faut à tout prix éviter de stocker les fichiers de sauvegarde sur votre installation de WordPress, faute de quoi, cela annulerait la raison d’être des sauvegardes.
Et même si la plupart des plugin fonctionnent sur le principe du « paramètrez moi et oubliez de vous en occuper », il est fortement conseillé d’effectuer des contrôles réguliers du système pour vous assurer que çela fonctionne toujours correctement.
Piratable ou non, votre site WordPress est en danger
Qu’en pensez vous, est-ce qu’il est si difficile de rendre votre site moins piratable? La mise en place de ces différents éléments vous prendra au pire 5 grosses minutes, café compris, alors pourquoi laisser la porte ouverte, quand il suffit de mettre un verrou?
Quelles sont les solutions que vous utilisez pour rendre votre site moins piratable? Ai-je oublié un point important? Les commentaires attendent vos suggestions.
Et n’oubliez pas, Partagez cet article, Merci!
Publié à l'origine le : 1 avril 2015 @ 11 h 38 min
