Comment empêcher le piratage d'un site WordPress
Publié: 2024-05-28Les sites WordPress représentent plus de 43 % de tous les sites Web, et cette popularité fait de la plateforme une cible pour les attaques en ligne. Cela signifie que même si WordPress présente des avantages apparemment illimités, il existe également des vulnérabilités connues que les pirates peuvent exploiter.
C'est pourquoi c'est une bonne idée de prendre les mesures de sécurité Web appropriées pour empêcher le piratage de votre site WordPress. De cette façon, vous pouvez sécuriser toutes vos données sensibles, préserver la réputation de votre entreprise et maintenir la confiance et la fidélité de vos clients.
Dans cet article, nous examinerons de plus près les hacks et vulnérabilités WordPress courants. Ensuite, nous vous montrerons comment empêcher les tentatives de piratage de WordPress.
Quelle est la fréquence des hacks WordPress ?
Le logiciel principal de WordPress est très sécurisé et est régulièrement audité par les développeurs. Cela dit, la popularité du système de gestion de contenu (CMS) en fait une cible pour les pirates informatiques qui souhaitent élargir leur réseau pour voler des informations sensibles, distribuer des logiciels malveillants et mener d'autres actions malveillantes.
WordPress peut également être ciblé car, en tant que logiciel open source, WordPress rend publiques toutes les vulnérabilités de sécurité. En fait, WPScan compte actuellement 49 000 vulnérabilités WordPress répertoriées dans sa base de données.
Cela peut permettre aux mauvais acteurs de compromettre plus facilement le logiciel. De plus, en tant que plateforme conviviale pour les débutants, de nombreux utilisateurs de WordPress ne savent pas comment entretenir et sécuriser correctement leurs sites Web. Par exemple, l’un des meilleurs moyens de sécuriser WordPress est de maintenir le logiciel à jour. Mais seulement 80 % des utilisateurs de WordPress ont installé la version six du logiciel.
Et sur ces 80 %, seuls 75 % utilisent la version la plus récente de WordPress. En tant que tels, ces sites Web peuvent avoir plus de mal à empêcher les piratages WordPress.
Vulnérabilités courantes à l'origine du piratage du site WordPress
Maintenant que vous en savez un peu plus sur le problème, penchons-nous sur les principales vulnérabilités pouvant conduire à des hacks WordPress.
1. Noyau et plugins WordPress obsolètes
Le logiciel principal de WordPress est régulièrement mis à jour avec de nouvelles fonctionnalités, des corrections de bugs et d'autres améliorations de sécurité. En fait, il y a déjà eu dix versions de WordPress cette année.
La dernière version était accompagnée de deux correctifs de bogues dans Core, de 12 correctifs pour l'éditeur de blocs et d'un correctif de sécurité supplémentaire. La plupart des développeurs de plugins publient également des versions plus récentes de leur propre logiciel accompagnées de correctifs de sécurité.
Ainsi, une fois qu’un logiciel existe depuis un certain temps, les pirates sont plus susceptibles de comprendre comment exploiter ses faiblesses. Ensuite, ils peuvent l'utiliser comme porte dérobée pour obtenir un accès non autorisé à votre site Web afin de mener des activités malveillantes.
2. Mots de passe faibles
Une autre cause fréquente de piratage de WordPress est la faiblesse des choix de mots de passe, et c’est l’une des plus faciles à résoudre. La mauvaise nouvelle est que de nombreux utilisateurs privilégient la commodité plutôt que la sécurité lorsqu’il s’agit de définir de nouveaux mots de passe.
En fait, « 123456 » était le mot de passe le plus courant l’année dernière et a été utilisé plus de 4,5 millions de fois. Le deuxième mot de passe le plus utilisé était « admin », utilisé quatre millions de fois.
Même si les propriétaires de sites Web comprennent l’importance de mots de passe forts, tous les utilisateurs ne prendront pas la précaution de les définir. C'est pourquoi c'est une bonne idée d'éduquer les utilisateurs et d'appliquer des mots de passe forts sur WordPress à l'aide d'outils tels que Password Policy Manager.
3. Thèmes non sécurisés et obsolètes
Comme c’est le cas pour le noyau et les plugins WordPress, les thèmes non sécurisés et obsolètes sont un autre candidat de choix pour les hacks WordPress. Comme pour les plugins, les thèmes obsolètes manquent souvent de correctifs de sécurité et de corrections de bugs.
De plus, ils peuvent devenir incompatibles avec d’autres plugins et le logiciel principal, ce qui peut entraîner des erreurs WordPress comme l’écran blanc de la mort. De plus, WordPress étant open source, tout développeur peut vendre des thèmes en ligne.
C'est pourquoi il est important de s'en tenir à des sources et à des développeurs fiables pour s'assurer que les thèmes peuvent être utilisés en toute sécurité. Un autre signe positif sont les mises à jour fréquentes, que vous pouvez consulter sur la page du thème dédié. Il est également utile de consulter les notes et de lire les critiques. De nombreuses installations actives peuvent également indiquer qu’un thème peut être utilisé en toute sécurité.
4. Absence de plugin de sécurité
Les plugins de sécurité offrent un moyen proactif de détecter les menaces et de protéger votre site contre les attaques WordPress. Mieux encore, la plupart des plugins de sécurité fonctionnent automatiquement. Cela signifie qu’une fois votre outil de sécurité configuré, il fonctionnera en arrière-plan avec peu ou pas de gestion manuelle requise.
Sans plugins de sécurité, il est facile de passer à côté des signes courants d'une tentative de piratage WordPress. Par exemple, des solutions telles que Jetpack Security sont dotées d'une protection contre la force brute et d'un pare-feu d'application Web (WAF) pour filtrer le trafic suspect sur votre site.
De plus, Jetpack fournit une analyse en temps réel des logiciels malveillants, ainsi qu'une protection contre les commentaires et le spam. Vous pouvez également automatiser le processus de sauvegarde et stocker les copies de votre site Web dans un emplacement sécurisé et distant. De plus, il est facile de restaurer votre site Web en cas de problème.
Comment les pirates exploitent ces vulnérabilités
Maintenant que vous connaissez les principales vulnérabilités qui conduisent aux piratages de WordPress, examinons les façons les plus courantes utilisées par les pirates pour exploiter ces vulnérabilités. La principale méthode de hack WordPress consiste à cibler soit les fichiers principaux, les plugins, les thèmes ou les pages de connexion.
De nombreux pirates informatiques utilisent des robots qui analysent automatiquement les sites Web pour identifier les faiblesses pouvant être exploitées ultérieurement. De plus, les pirates peuvent tromper les sites Web en utilisant différents agents utilisateurs, en envoyant différentes informations aux sites Web sur le navigateur et le système d'exploitation.
La page de connexion WordPress est également un point d’entrée courant pour les pirates. Si vous ne modifiez pas l'URL par défaut de la page de connexion WordPress, tout le monde peut la trouver en ajoutant un certain suffixe comme « /admin » à la fin de votre nom de domaine.
Ensuite, les attaquants peuvent utiliser des attaques par force brute qui impliquent d’essayer des centaines de combinaisons de nom d’utilisateur et de mot de passe jusqu’à ce qu’ils accèdent à votre site. Et, comme nous l’avons vu, de nombreux utilisateurs s’appuient sur des mots de passe faibles qui peuvent être déchiffrés très rapidement.
Les conséquences financières et réputationnelles d’un site piraté
L’une des principales raisons pour lesquelles les gens veulent savoir comment empêcher les tentatives de piratage de WordPress est d’éviter les conséquences financières d’un site piraté. Naturellement, si une personne non autorisée accède à votre site, elle peut consulter, falsifier et voler des données privées.
Si vous disposez des informations personnelles ou des détails de paiement des clients dans vos dossiers, vous pourriez enfreindre les lois sur la protection des données, ce qui entraînerait de lourdes sanctions. En fait, les violations graves du RGPD peuvent atteindre 20 millions d’euros. Et l’année dernière, le coût moyen d’une violation de données aux États-Unis s’est élevé à près de 9,5 millions de dollars.
De plus, ce type de violation constitue simplement une violation de la vie privée, qui peut entraîner une perte de confiance et de fidélité des clients de longue date. En conséquence, cela peut nuire de façon permanente à la réputation de votre entreprise. Cela peut être difficile à surmonter, surtout si votre marque est moins établie.
Vous devez également penser au coût de réparation ou de récupération d’un site Web, qui dépendra du type de hack WordPress. Pour faire face aux attaques de ransomwares, vous devrez peut-être payer beaucoup d’argent pour retrouver l’accès à votre site. Parallèlement, le nettoyage ou le remplacement des fichiers importants du site peut s'avérer coûteux.
Enfin, les sites Web piratés jugés suspects ou dangereux peuvent être placés sur les listes de blocage de Google. Si cela se produit, il peut être difficile de supprimer votre site des listes de blocage. Et comme votre site Web n’apparaîtra pas dans les résultats de recherche tant qu’il ne sera pas supprimé de cette liste, vous en subirez probablement un impact sur le trafic et les revenus.
Mesures pour empêcher le piratage d'un site WordPress
Maintenant que vous connaissez les principales causes et conséquences des piratages, voyons comment empêcher les tentatives de piratage de WordPress.
1. Gardez WordPress à jour
L'un des principaux moyens par lesquels les pirates informatiques obtiennent un accès non autorisé à votre site consiste à exploiter les vulnérabilités connues des anciennes versions du logiciel. Cela vaut pour le logiciel principal, les plugins et les thèmes WordPress.
De plus, la plupart des mises à jour sont accompagnées de corrections de bugs et d'autres améliorations de sécurité qui rendent plus difficile la réalisation d'attaques par les pirates. Et en ce qui concerne les plugins et les thèmes, même les logiciels désactivés peuvent être ciblés, il est donc préférable de supprimer les logiciels que vous n'utilisez plus.
Pour éviter les hacks WordPress, il est important de mettre à jour votre site Web dès que de nouvelles versions sont disponibles. Vous verrez généralement une notification lorsque les mises à jour sont prêtes. Mais vous pouvez également accéder à Tableau de bord → Mises à jour dans l'écran d'administration de WordPress.
Ici, vous pouvez voir s'il y a une nouvelle version de WordPress à installer, ou vous pouvez cliquer sur le lien Vérifier à nouveau pour vous en assurer. Si une nouvelle version est disponible, c'est une bonne idée de sauvegarder votre site avant d'exécuter la mise à jour et d'effectuer d'abord la mise à jour dans un environnement intermédiaire.
Plus bas, vous verrez tous les thèmes et plugins répertoriés pour lesquels des mises à jour sont disponibles.
Pour mettre à jour les plugins et les thèmes, cochez la case à côté de chacun, puis cliquez sur Mettre à jour les plugins ou Mettre à jour les thèmes.
Pour plus de tranquillité d'esprit, il peut être préférable d'activer les mises à jour automatiques pour les plugins que vous utilisez régulièrement. De cette façon, vous n'avez pas à craindre que le logiciel devienne obsolète et dangereux. Pour ce faire, accédez simplement à la page Plugins installés .
Dans la colonne Mises à jour automatiques , vous devriez voir un lien Activer les mises à jour automatiques à côté de chaque plugin installé. Il ne vous reste plus qu'à cliquer sur le lien. Ensuite, si vous changez d’avis à tout moment, désactivez simplement cette fonctionnalité.
2. Choisissez un fournisseur d'hébergement sécurisé
Si vous vous demandez comment empêcher les tentatives de piratage de WordPress, il est important de choisir un hébergeur sécurisé. Bien qu'il existe de nombreux hébergeurs Web disponibles, certaines solutions prennent des mesures supplémentaires pour protéger les serveurs contre les menaces connues.
Un service d'hébergement de qualité doit également inclure une méthode pour surveiller le trafic suspect (comme un pare-feu). De plus, la plupart des bons hébergeurs Web disposent d'outils pour empêcher les attaques par déni de service distribué (DDoS) et fournissent des sauvegardes régulières pour restaurer rapidement votre site Web.
Bluehost est un fournisseur d'hébergement populaire qui propose une gamme de forfaits abordables.
Bluehost propose également une suite complète de fonctionnalités de sécurité. En fait, il offre le cryptage des données, des sauvegardes automatiques, des analyses de logiciels malveillants et une assistance 24h/24 et 7j/7. Mieux encore, les packages sélectionnés sont livrés avec une atténuation DDoS, un pare-feu d'application Web (WAF) et bien plus encore.
Il est également important de considérer le type d’hébergement de site Web que vous utiliserez. Bien que l’hébergement partagé soit l’option la plus abordable, il comporte un risque plus élevé de contamination entre sites. En effet, avec ce type de forfait, vous partagerez un serveur avec d'autres sites Web qui pourraient ne pas prendre les mêmes précautions de sécurité que vous.
Dans cette optique, il peut être préférable d’opter pour un hébergement dédié ou sur serveur privé virtuel (VPS).
Ou bien, les solutions d'hébergement gérées fournissent généralement un environnement sécurisé pour votre site Web, car de nombreuses tâches de maintenance sont prises en charge pour vous. Cela inclut souvent des sauvegardes, des mises à jour et d'autres configurations de sécurité.
3. Installez un plugin de sécurité tout-en-un
Comme mentionné, l’un des moyens les plus pratiques de prévenir les piratages WordPress consiste à installer un plugin de sécurité tout-en-un. De cette façon, vous pouvez automatiser de nombreux processus de sécurité afin de ne pas avoir à vérifier ou mettre à jour manuellement les configurations en permanence.
Encore une fois, il existe un certain nombre de plugins de sécurité disponibles, mais Jetpack Security constitue une excellente option pour les sites Web WordPress.
Avec un tableau de bord élégant et une interface intuitive, il convient même aux débutants complets. Vous aurez accès à un WAF premium pour filtrer tout le trafic Web entrant. Et vous pouvez même bloquer des adresses IP spécifiques que vous savez suspectes.
Grâce à un journal d'activité sur 30 jours, vous pouvez garder un œil sur chaque action effectuée sur votre site Web. Cela facilite l’identification de la cause des problèmes de sécurité et des erreurs. De plus, Jetpack fournit une analyse des logiciels malveillants en temps réel avec de nombreux correctifs en un clic.
De plus, toutes les sauvegardes sont stockées dans le Jetpack Cloud. Ainsi, si votre serveur est compromis, vos sauvegardes restent sûres et sécurisées. Et vous pouvez restaurer votre site à un moment précis, tout en conservant les détails actuels des commandes des clients.
4. Appliquez des politiques de mots de passe solides
Si vous souhaitez savoir comment empêcher les tentatives de piratage de WordPress, une autre stratégie consiste à renforcer la procédure de connexion à WordPress. Cela implique en grande partie l’utilisation et l’application de politiques de mots de passe strictes.
Un mot de passe fort contient un mélange de lettres majuscules et minuscules, de chiffres et de caractères spéciaux. Mais même si votre mot de passe répond à tous ces paramètres, il peut toujours être déchiffré instantanément s’il comporte moins de sept caractères. Il est donc préférable d’opter pour des mots de passe longs.
Néanmoins, même si vous suivez ces bonnes pratiques pour vos propres mots de passe, cela est essentiellement inutile si d'autres utilisateurs de votre site utilisent des mots de passe faibles. En tant que tel, c'est une bonne idée d'appliquer des mots de passe forts sur WordPress à l'aide d'un plugin tel que Password Policy Manager.
De cette façon, vous pouvez déterminer la force du mot de passe, forcer la réinitialisation du mot de passe et définir une période de temps pendant laquelle les mots de passe expireront automatiquement. De plus, avec la version premium, vous pouvez verrouiller les utilisateurs inactifs et générer des mots de passe aléatoires pour empêcher les attaques par force brute.
5. Mettre en œuvre l'authentification à deux facteurs (2FA)
Les mots de passe forts jouent un rôle essentiel dans le renforcement de la procédure de connexion WordPress, mais vous pouvez ajouter une couche de sécurité supplémentaire en utilisant l'authentification à deux facteurs. Avec cette configuration, les utilisateurs doivent fournir une deuxième clé (ainsi qu'un mot de passe) pour accéder à votre site.
Généralement, cette deuxième clé est un code unique qui est envoyé à une adresse e-mail ou à un appareil mobile associé au compte utilisateur. La bonne nouvelle est que vous pouvez sécuriser la connexion – y compris en exigeant 2FA – en forçant la connexion au site via un compte WordPress.com. Cela peut être fait avec la fonction d'authentification sécurisée sur Jetpack.
De cette façon, même si les pirates parviennent à récupérer les mots de passe et les noms d'utilisateur, ils ne pourront pas saisir la deuxième clé (qui est généralement générée en temps réel).
6. Autorisations sécurisées sur les fichiers et les répertoires
Les sites Web WordPress sont constitués de différents fichiers et répertoires avec des contrôles qui déterminent quels utilisateurs peuvent y accéder et les modifier. Sans ces autorisations, toute personne ayant accès à votre site peut afficher et modifier les fichiers.
Cela peut constituer un problème de sécurité, surtout si les comptes d'utilisateurs sont récupérés par des acteurs malveillants qui pourraient alors causer des dommages. Si vous utilisez cPanel ou accédez à votre site via le protocole de transfert de fichiers (FTP), vous avez probablement vu les fichiers et répertoires WordPress.
En général, les valeurs correctes d’autorisation de fichiers pour WordPress sont 644 pour les fichiers et 755 pour les dossiers. Mais il existe des cas où vous préférerez peut-être sécuriser davantage vos fichiers, comme c'est souvent le cas avec le fichier wp-config.php et le fichier .htaccess .
Si vous souhaitez rendre ces fichiers moins permissifs, vous pouvez modifier les valeurs à 640 ou 600. En fait, pour verrouiller davantage les fichiers, vous préférerez peut-être même une valeur de 444, mais cela peut restreindre les plugins qui ont besoin d'accéder aux fichiers. (comme beaucoup de plugins de mise en cache).
7. Installez un certificat SSL
Le protocole SSL (Secure Sockets Layer) fournit une couche de sécurité supplémentaire pour les sites Web qui gèrent le transfert d'informations sensibles telles que les données de cartes de crédit. Avec un certificat SSL, les données sont cryptées. Cela signifie que même s’il est intercepté par des pirates, il reste illisible.
De plus, la sécurité SSL vérifie la propriété de votre site Web, ce qui empêche les pirates informatiques d'en créer de fausses versions. Par conséquent, cela peut également contribuer à établir la crédibilité et à accroître la confiance des clients.
La bonne nouvelle est que de nombreux fournisseurs d’hébergement Web proposent des certificats SSL gratuits dans le cadre de leurs services d’hébergement. Vous pouvez également acheter un certificat SSL auprès d'une autorité de certification valide telle que Let's Encrypt.
Nous gardons votre site. Vous dirigez votre entreprise.
Jetpack Security offre une sécurité complète et facile à utiliser pour les sites WordPress, comprenant des sauvegardes en temps réel, un pare-feu pour les applications Web, une analyse des logiciels malveillants et une protection anti-spam.
Sécurisez votre site8. Installez un pare-feu d'application Web (WAF)
Un autre moyen populaire de prévenir les piratages WordPress consiste à installer un pare-feu d’application Web. Cela vous permet de filtrer tout le trafic entrant et de bloquer toute adresse IP suspecte.
Il s'agit d'une mesure préventive qui fonctionne comme une barrière, vous pouvez donc être assuré que les pirates informatiques n'accéderont même pas à votre site Web. Et, si vous utilisez Jetpack Security, vous pouvez accéder à cette couche de sécurité supplémentaire et configurer des règles spécifiques pour celle-ci.
Pour activer le pare-feu de Jetpack, vous aurez d'abord besoin d'un plan incluant Jetpack Scan. Ensuite, dirigez-vous vers Jetpack → Paramètres. Ensuite, faites défiler jusqu'à la section Pare-feu et utilisez les boutons bascule pour activer le pare-feu, bloquer des adresses IP spécifiques et autoriser des adresses IP spécifiques.
Pour bloquer ou autoriser des adresses IP, vous devrez saisir des adresses IP complètes dans la ou les cases correspondantes. Ensuite, cliquez sur Enregistrer la liste de blocage ou Enregistrer la liste autorisée.
9. Analysez régulièrement votre site à la recherche de vulnérabilités
Si vous vous demandez comment empêcher les tentatives de piratage de WordPress, c'est également une bonne idée de mettre en place des analyses de vulnérabilité régulières. De cette façon, vous pouvez accéder à une protection 24 heures sur 24 et détecter rapidement toute menace potentielle.
Jetpack Security offre une protection 24h/24 et 7j/7 grâce à son WAF et à ses analyses de logiciels malveillants en temps réel qui détectent les menaces les plus récentes. Mais si votre budget est serré, vous préférerez peut-être commencer avec Jetpack Scan, qui donne accès uniquement à ces fonctionnalités (sans les avantages supplémentaires de Jetpack Security comme les sauvegardes en temps réel et la protection anti-spam).
Vous pourrez toujours utiliser le service WAF et malware de Jetpack. Et si quelque chose ne va pas avec votre site, vous serez immédiatement averti par e-mail. L'une des meilleures fonctionnalités est que toutes les analyses ont lieu sur les propres serveurs de Jetpack, vous pouvez donc toujours accéder à votre site même s'il tombe en panne.
Ce plugin identifiera toutes les vulnérabilités des plugins, des thèmes et sélectionnera les fichiers et répertoires. Par défaut, vous obtiendrez une analyse quotidienne, mais vous pouvez également lancer des analyses manuellement. De plus, vous pouvez afficher les résultats de l'analyse directement à partir de votre tableau de bord (et activer les correctifs en un clic pour la plupart des problèmes).
10. Supprimer les comptes d'utilisateurs inactifs
Les comptes d'utilisateurs inactifs peuvent encombrer votre site Web et soulever des problèmes de sécurité. En règle générale, si un utilisateur ne s'est pas connecté à son compte au cours des 90 derniers jours, cela indique clairement son inactivité.
Il est important de supprimer ces comptes pour éviter les problèmes de sécurité. Par exemple, les anciens comptes contiennent des mots de passe qui n'ont pas été modifiés depuis longtemps, il y a donc plus de chances qu'ils aient été divulgués sur le dark web.
Ensuite, connectez-vous au tableau de bord WordPress et accédez à Utilisateurs → Tous les utilisateurs. Sous le profil utilisateur, vous pouvez envoyer un lien de réinitialisation du mot de passe si vous préférez. Ou cliquez simplement sur Supprimer et confirmez l'action sur la page suivante.
C'est à vous de déterminer les limites spécifiques de la manière dont vous définissez les comptes inutilisés. Vous pourriez avoir des utilisateurs qui ont créé un compte mais qui n’ont jamais apporté de contribution ni acheté de produit. Il se peut également que certains utilisateurs n’aient jamais utilisé leur compte de manière cohérente.
Si vous avez affaire à un grand nombre d'utilisateurs et que vous n'êtes pas sûr de leur activité, vous pouvez toujours installer un plugin gratuit comme WP Last Login pour suivre cela. Cet outil vous permet de visualiser la dernière date de connexion des utilisateurs directement dans le tableau de bord WordPress.
11. Suivre et surveiller l'activité des utilisateurs
Un autre excellent moyen d’empêcher les tentatives de piratage de WordPress consiste à suivre et à surveiller l’activité des utilisateurs. De cette façon, vous pouvez conserver un enregistrement complet de chaque action effectuée sur votre site Web.
Par exemple, selon l'outil que vous utilisez, vous pourrez peut-être voir quand un utilisateur exécute une mise à jour, installe un plugin, télécharge des images, laisse des commentaires, etc. Cela rend la gestion du site beaucoup plus transparente et peut accélérer les réparations et le débogage.
La bonne nouvelle est que si vous utilisez Jetpack Security, vous aurez accès à un journal d'activité qui stocke les actions des utilisateurs. De plus, vous obtiendrez des informations détaillées sur l'événement, y compris l'utilisateur qui a effectué l'action et l'heure exacte à laquelle elle a eu lieu.
Mieux encore, même avec la version gratuite de Jetpack, vous pouvez visualiser les 20 derniers événements réalisés sur votre site. Cela peut vous aider à prévenir les attaques par force brute puisque vous serez également informé des tentatives de connexion des utilisateurs.
12. Renommez le compte utilisateur « admin » par défaut
Comme nous en avons discuté, il peut être facile pour les pirates d'accéder à votre site si vous ne modifiez pas l'URL de la page de connexion par défaut (dont nous parlerons plus tard). Mais aussi, de nombreuses personnes continuent de conserver « admin » comme nom d’utilisateur de leur compte WordPress.
Cela signifie que les pirates n'ont qu'à deviner correctement votre mot de passe et qu'ils obtiendront un contrôle total sur votre site Web, puisque le compte administrateur n'a aucune limitation. Par conséquent, il est préférable de modifier le nom du compte « admin » par défaut pour éviter les piratages WordPress.
Pour ce faire, accédez à Utilisateurs → Ajouter un nouvel utilisateur dans le tableau de bord WordPress. Remplissez tous les champs obligatoires, y compris un nom d'utilisateur unique qui n'est pas « admin ». Ensuite, utilisez le menu déroulant Rôle pour sélectionner Administrateur .
Maintenant, cliquez sur Ajouter un nouvel utilisateur en bas de la page. Maintenant, sur l'écran Tous les utilisateurs , vous devriez voir le nouveau compte administrateur que vous venez de créer.
À ce stade, vous devrez vous déconnecter de votre compte actuel (l'ancien compte administrateur) et vous reconnecter à WordPress en utilisant les informations d'identification de votre nouveau compte administrateur. Ensuite, revenez à l'écran Utilisateurs → Tous les utilisateurs et cliquez sur le lien Supprimer sous l'ancien compte administrateur.
Mais il est important d’attribuer toutes les publications et pages au nouveau compte administrateur. Sinon, tout contenu créé à l'aide de l'ancien compte administrateur sera supprimé.
Par conséquent, vous devrez cocher la case indiquant Attribuer toutes les publications à et utiliser la liste déroulante pour sélectionner le nouvel utilisateur administrateur.
Ensuite, cliquez sur Confirmer la suppression.
13. Masquer wp-admin/ et wp-login.php
Pour éviter les tentatives de piratage de WordPress, vous pouvez également masquer les pages wp-admin et wp-login.php. Par défaut, WordPress utilise une URL de connexion standard qui combine votre nom de domaine avec le suffixe wp-login.php.
Cette structure de base est la même même si vous utilisez des sous-domaines et des sous-répertoires. Par conséquent, les pirates peuvent le saisir dans la barre de recherche et atterrir directement sur votre page de connexion WordPress.
De plus, si vous combinez votre domaine avec le suffixe wp-admin, les pirates peuvent être dirigés vers la page de connexion de l'administrateur. Ainsi, si vous souhaitez rendre plus difficile l’accès des attaquants à votre site, il est préférable de modifier les URL des pages de connexion.
Le moyen le plus simple de procéder est d'utiliser un plugin comme WPS Hide Login, qui rend le répertoire wp-admin et la page /wp-login.php inaccessibles.
À l'aide de cet outil, vous pouvez le remplacer par une URL de connexion personnalisée que vous partagerez uniquement avec les utilisateurs en qui vous avez confiance. Il fonctionne également sur les sous-domaines et sous-dossiers. Mais si vous ne souhaitez pas utiliser de plugin, vous pouvez également masquer manuellement les URL de la page de connexion.
14. Sécurisez votre fichier /wp-config.php
Un autre moyen courant d’empêcher les tentatives de piratage de WordPress consiste à sécuriser votre fichier wp-config.php . Il s’agit de l’un des fichiers WordPress les plus importants car il contient des informations sur votre installation WordPress, telles que les détails de connexion à la base de données et les clés de sécurité WordPress.
La mauvaise nouvelle est que WordPress a un emplacement par défaut pour le fichier, ce qui le rend plus facile à trouver pour les pirates. Par conséquent, vous pouvez déplacer ce dossier en dehors du répertoire racine de votre site (qui est généralement étiqueté / public_html ). et ça fonctionnera toujours.
De plus, vous souhaiterez peut-être également restreindre les autorisations sur les fichiers afin que seuls les véritables propriétaires puissent modifier le fichier. Pour ce faire, vous devrez télécharger le fichier .htaccess , que vous trouverez également dans le dossier racine.
Ensuite, dans un éditeur de texte brut, ouvrez le fichier et ajoutez le code suivant :
<files wp-config.php> order allow,deny deny from all </files>
Maintenant, vous pouvez télécharger le fichier .htaccess mis à jour dans le dossier racine pour refuser l'accès au fichier wp-config.php .
15. Sauvegardez régulièrement votre site
Il est facile de paniquer lorsque votre site Web est piraté. Mais si vous disposez d’une copie à jour de votre site Web, vous pouvez résoudre le problème rapidement.
Bien que vous puissiez créer des sauvegardes manuelles de votre base de données, la méthode la plus simple consiste à installer un plugin de sécurité comme Jetpack Security. De cette façon, vous aurez accès à Jetpack VaultPress Backup, qui est une solution de sauvegarde WordPress dédiée.
Le plugin crée la première sauvegarde de votre site dès que l'achat est terminé. C'est un choix idéal pour les magasins de commerce électronique car il sauvegarde toutes les données des clients et des commandes ainsi que les images, le contenu des pages, etc.
La meilleure partie est que contrairement aux options d'hébergement Web intégrées, les sauvegardes sont stockées dans le stockage cloud distant de Jetpack. Cela signifie que vous pouvez restaurer une version propre de votre site même lorsque vous ne pouvez pas vous connecter. De plus, vous pouvez choisir le moment exact auquel vous souhaitez restaurer votre site.
Comment Jetpack Security gère la sécurité de WordPress pour une tranquillité d'esprit
Maintenant que vous savez comment empêcher les tentatives de piratage de WordPress, voici comment Jetpack Security protège votre site Web pour que vous puissiez avoir l'esprit tranquille.
Analyse des logiciels malveillants et des vulnérabilités 24h/24 et 7j/7
L’un des principaux moyens par lesquels Jetpack Security vous aide à prévenir les piratages WordPress consiste à analyser les logiciels malveillants et les vulnérabilités en temps réel. Les logiciels malveillants font référence à des logiciels malveillants qui peuvent être utilisés pour voler ou supprimer des données, détourner des fonctions principales et espionner l'activité de votre ordinateur.
Mais Jetpack Scan ne se limite pas à la simple détection de logiciels malveillants. Il peut également identifier les modifications suspectes apportées aux fichiers WordPress principaux, les plugins obsolètes ou non sécurisés et les shells Web, qui donnent aux pirates un accès complet à votre serveur.
Une fois que vous avez installé Jetpack Security, la première analyse démarrera immédiatement. Ensuite, allez dans Jetpack → Protect → Scan pour afficher les résultats (même si vous devrez peut-être d'abord autoriser votre compte WordPress.com).
Ici, vous pouvez également lancer une nouvelle analyse manuellement et afficher les résultats de votre analyse. De plus, vous pourrez voir s'il existe des menaces actives. Et si plusieurs menaces sont identifiées, celles-ci seront classées par ordre de gravité.
Si des menaces sont détectées, vous recevrez également une notification instantanée par e-mail et pourrez afficher les menaces dans le tableau de bord WordPress. De plus, Jetpack propose souvent des solutions en un clic pour résoudre les problèmes.
Sauvegardes en temps réel et restaurations en un clic
Les sauvegardes vous permettent de récupérer rapidement après un hack WordPress. Sans sauvegarde, votre site Web peut rester indisponible pendant un certain temps, le temps que vous essayiez d'identifier les correctifs pour résoudre le problème. Cela aura probablement un impact sur le trafic et les revenus de votre site Web.
Avec Jetpack Security, vous pouvez simplement remplacer le site Web concerné par une version propre et à jour. Les sauvegardes en temps réel de Jetpack sont stockées dans le cloud, donc même si l'intégralité de votre serveur est affectée, vous pouvez toujours accéder au site Web répliqué.
De plus, Jetpack sauvegarde même les commandes, les produits et les bases de données WooCommerce, ce qui vous aide à rester conforme aux lois sur la protection des données. Et le processus de restauration peut être effectué en un seul clic.
Protection contre les attaques par force brute
Les attaques par force brute ont été répertoriées comme l’une des principales causes de cyberattaques rencontrées par les entreprises aux États-Unis en 2022. Elles ont également été classées comme la cinquième cause d’attaques de ransomware dans le monde en 2023.
Les attaques par force brute ralentissent votre site en raison de requêtes répétées du serveur, mais le véritable objectif est d'accéder aux fichiers importants du site dans lesquels les pirates peuvent insérer du code ou des scripts malveillants. Mais avec Jetpack Security, vous pouvez bloquer les attaques de cette nature via votre tableau de bord.
Tout ce que vous avez à faire est d'aller dans Jetpack → Paramètres et de faire défiler jusqu'à la section appropriée où vous verrez une bascule pour activer ou désactiver la fonctionnalité.
En fait, en moyenne, Jetpack bloque 5 193 attaques par force brute au cours de la durée de vie d'un site Web. Il bloque automatiquement les adresses IP malveillantes avant même qu’elles n’atteignent votre site. Et vous pouvez autoriser les adresses IP connues à réduire les faux positifs.
Un journal d'activité utilisateur sur 30 jours
Si vous souhaitez savoir comment prévenir les tentatives de piratage de WordPress, un journal d’activité est une excellente solution. De cette façon, vous pouvez suivre chaque action effectuée sur votre site, comme les mises à jour de plugins et de thèmes, les modifications de paramètres et les connexions des utilisateurs.
Avec Jetpack Security, vous pouvez stocker les actions des utilisateurs jusqu'à 30 jours, ce qui peut simplifier les tâches de gestion du site et améliorer l'efficacité du débogage et des réparations. De plus, vous obtiendrez des informations détaillées sur chaque événement, notamment un horodatage, un utilisateur et une description.
Corrections faciles en un clic
Jetpack Security aide également à prévenir les piratages WordPress grâce à ses correctifs simples en un clic. Cela distingue Jetpack des autres plugins de sécurité qui peuvent être efficaces pour identifier les problèmes, mais ne fournissent pas de moyen de les résoudre.
Cela signifie que votre site Web peut subir de longues périodes d'indisponibilité au cours desquelles votre contenu est inaccessible aux visiteurs et vous ne parvenez pas à générer des revenus. La bonne nouvelle est que si vous utilisez Jetpack Security, vous aurez accès à des analyses de vulnérabilité en temps réel.
Comme nous l'avons mentionné, vous pouvez effectuer une analyse en accédant à Jetpack → Protect → Scan . Ici, vous pouvez également consulter les résultats des analyses. De plus, vous pouvez trouver plus d'informations sur les menaces détectées et même cliquer sur le bouton Réparer tout pour résoudre les problèmes en masse.
Protection anti-spam des commentaires et des formulaires
Akismet est l'un des plugins anti-spam les plus populaires et offre des fonctionnalités impressionnantes. Il bloque en moyenne 7,5 millions de spams par heure. Et avec Jetpack Security (ainsi que d'autres plans sélectionnés Jetpack), vous aurez accès au plugin pour bloquer le spam de commentaires et former le spam.
Naturellement, le spam peut être très frustrant à gérer, et cela peut rendre votre site Web moins fiable et fiable du point de vue d'un client. Mais, il peut également contenir des logiciels malveillants dangereux qui peuvent être utilisés pour endommager les appareils et voler des données sensibles.
Fondamentalement, la section des commentaires et les champs de formulaire permettent à quiconque d'interagir avec votre site Web. En tant que tels, ces zones ont tendance à être des cibles de choix pour les attaques de spam.
Heureusement, vous pouvez résoudre ce problème en allant sur Jetpack → Akismet anti-spam de votre tableau de bord.
Ici, vous pouvez voir combien de tentatives de spam ont été bloquées et afficher une note de précision qui considère le spam manqué et les faux positifs.
De plus, vous pouvez configurer le filtrage automatique des spams afin de ne jamais voir les pires et les plus omniprésents de spam. Ou, vous pouvez configurer les paramètres afin que chaque morceau de spam soit dirigé vers un dossier de spam dédié où vous pouvez le revoir.
5 millions + sites font confiance à Jetpack pour la sécurité de leur site Web
Bien que WordPress soit largement considéré comme une plate-forme sécurisée pour les sites Web, c'est aussi une cible attrayante pour les pirates car elle est si populaire. Dans cet esprit, il est important de prendre des mesures pour empêcher WordPress des hacks. De cette façon, vous pouvez mieux protéger les données des clients et préserver votre bonne réputation.
Des mots de passe solides, une authentification à deux facteurs et un pare-feu d'application Web sont tous de grandes défenses. Mais, vous devez également choisir un hôte Web sécurisé, garder les logiciels à jour et scanner régulièrement votre site pour des vulnérabilités.
Avec Jetpack Security, vous aurez accès à un plugin de sécurité tout-en-un qui empêche une gamme d'attaques en ligne. Il vous aide à automatiser les sauvegardes, à surveiller l'activité des utilisateurs, à bloquer les commentaires et à former le spam et à accéder aux correctifs en un clic. Commencer aujourd'hui!