Wordpress pour débutant » Sécuriser son blog WordPress facilement
Wordpress pour débutant

tutoriel, hacks, astuces, information…

Sécuriser son blog WordPress facilement

Catégorie de l'article : Sécurité
Article Publié le : 26 septembre 2014
Article affiché 5163 fois
il y a 4 Commentaires

Il est pratiquement impossible de sécuriser un site ou un blog à 100%.

Mais vous allez voir qu’il est possible néanmoins d’augmenter la protection de son blog très facilement, même sans aucune connaissance en informatique.

 

L’identifiant et le mot de passe : première faille de son blog

securite

Pour vous connecter sur votre blog WordPress, vous devez utiliser un identifiant (login) et un mot de passe.

Le couple identifiant / mot de passe est l’un des remparts pour protéger votre site des hackers.

Si vous avez installé un plugin de sécurité, comme Wordfence, vous recevez des alertes vous informant des différentes attaques sur votre blog.

Une des attaques possibles, c’est de cracké votre mot de passe. Pour se faire, il suffit de connaitre l’identifiant utilisé pour se connecter.

 

Trouver l’identifiant d’un compte administrateur

Par défaut, le compte administrateur est le numéro 1, logique. Mais voilà, tout le monde le connait, les hackers aussi.

Vous allez sur votre site et vous tapez l’adresse-de-votre-site /?author=1

Exemple : wordpress.buldozer.fr/?author=1 (cela ne fonctionne pas sur ce site 😉 )

Le site va vous afficher tous les articles de l’auteur 1, qui est aussi l’administrateur. Vous allez donc avoir l’identifiant qui va s’afficher.

Maintenant il est facile de comprendre qu’il ne faut pas utiliser le compte par défaut.

 

Trouver le mot de passe d’un compte administrateur

Pour trouver le mot de passe, le hackeur peut utiliser 2 méthodes :

– la première : utilisé un dictionnaire qui contient des milliers de mots qui sont souvent utilisés par les administrateurs ou les webmasters.

– la deuxième : utilisé la force brute, càd, qu’un programme va essayer toutes les lettres de l’alphabet, avec ou sans les chiffres.

Vous pensez que votre mot de passe est sûr. En allant sur le https://howsecureismypassword.net vous saurez combien de temps il faudra pour trouver votre mot de passe

Exemple :

pour le mot de passe : Password, il faudrait moins de 1 seconde au hackeur pour trouver le mot de passe.

Pour le mot de passe: Poissons, il faudrait au hacker environ 3 heures pour trouver le mot de passe.

Pour le mot de passe : Je suis né le 1 janvier 1971, il est pratiquement impossible de le découvrir.

Le prirate ne va pas essayer lui même de trouver le mot de passe, il va utiliser un programme qui va chercher sur le web des sites sous WordPress et il va essayer de trouver le mot de passe du compte admin.

En une nuit, votre mot de passe peut être découvert.

Pour avoir un ordre d’idée, depuis le mois de juillet, j’ai environ une dizaine d’attaques de ce genre par jour. Toutes les attaques utilisent le compte admin.

 

Conclusion :

Si vous souhaitez rendre la vie un peu plus dure aux hackeurs, il suffit de ne pas utiliser comme identifiant admin, mais un autre identifiant.

Si vous utilisez le compte par défaut de WordPress, il suffit de créer un nouveau compte administrateur

De choisir un mot de passe qui contient des chiffres, des lettres, des majuscules, des minuscules.

Le mot de passe doit contenir le plus de caractères possibles.

Le plus simple est de choisir une petite phrase comme mot de passe. Il sera pratiquement impossible à un pirate de la découvrir.

 

Plugin de sécurité :

Il existe plusieurs plugins pour WordPress. Voici une liste de quelques plugins qui peuvent vous servir pour sécuriser votre site WordPress :

Wordfence : ce plugin pourra bloquer les utilisateurs qui veulent se connecter avec le login admin. Il dispose de plusieurs options et d’autres fonctionnalités. Vu le nombre de fonctionnalités proposé par ce plugin, je vous conseil de l’installer. Pour plus d’informations sur Wordfence : cliquer-ici

login lockdown : bloque les adresses IP au bout d’un certain nombre de tentatives de connexion : https://wordpress.org/plugins/login-lockdown/

Brute force login protection : fait la même chose que login lockdown : https://wordpress.org/plugins/brute-force-login-protection

Ces 3 plugins font la même chose, il est donc inutile de les installer tous les 3 en même temps (remarque pour Loic 😉 )

Vous trouverez plus de plugins sur le site officiel de WordPress : cliquer-ici

A propos de l'auteur :

Philippe est le webmaster du site wordpress.buldozer.fr - Wordpress pour les débutants. Philippe n'est pas un professionnel de l'informatique, mais juste un passionné.

a écrit 61 articles.



  • Catégories

  • Les derniers articles

  • Divers