Si vous possédez un blog vous savez à quel point c’est une expérience enrichissante, prenante et passionnante, mais qu’elle peut être aussi stressante. Il y a de telles menaces dorénavant sur la sécurité des blogs qu’il faut faire preuve d’une grande discipline pour s’assurer de leur protection. Pour protéger efficacement votre blog, voici 5 conseils que vous devez suivre impérativement : ce sont les premières étapes pour mettre votre blog à l’abri des principales menaces en ligne.

Sauvegardez votre blog

Cela n’empêchera pas réellement votre site d’être piraté, mais cela garantira que, si vous êtes piraté, vous pourrez simplement revenir à votre sauvegarde et ne rien perdre de votre travail.

Vous pouvez faire cela de deux manières :

• Faire des sauvegardes avec votre hébergeur : la plupart des sociétés d’hébergement proposent ce genre de services (payant ou gratuit selon la formule dont vous disposez).
• Faire des sauvegardes avec un plugin ou un service tiers : cette solution est plus sécurisante vis-à-vis de la défaillance d’un hébergeur. 

L’idéal est de combiner les deux pour être certain de ne jamais perdre vos sites Internet. Si vous possédez des sauvegardes de vos blogs vous êtes assurés de pouvoir les réinstaller, quoi qu’il arrive. Pensez surtout à paramétrer ces sauvegardes pour qu’elles soient régulières (au moins hebdomadaire), pour ne jamais perdre trop de contenu. Et surtout les récupérer en local. En cas de crash de serveur, si elles restent dessus, cela ne sert à rien.

Installez un plugin de sécurité

Bien qu’un bon hébergeur puisse faire beaucoup pour protéger votre site, vous avez également besoin d’un plugin de sécurité. Ce n’est pas un supplément optionnel, c’est essentiel.

Il existe un certain nombre de plugins de sécurité sur le marché : WordFence, Sucuri, Security Ninja, ou encore All In One WP Security & Firewall. Beaucoup d’entre eux ont des versions gratuites largement efficaces mais vous pouvez aussi investir quelques euros sur des versions prémiums afin d’avoir une sécurité complète de votre blog.

Tout ce que vous avez à faire est de télécharger le plugin, de l’installer, puis de parcourir chaque page en ajustant les paramètres. Il existe sur ces plugins beaucoup de fonctionnalités comme la défense contre des attaques de force brute, la sécurisation des mots de passe, le blocage d’IP, etc… et bien sûr des alertes paramétrables pour vous prévenir en temps réel de problèmes de sécurité sur votre site internet.

Assurez-vous aussi que le plugin choisit soit à jour régulièrement (informations disponibles sur la page du plugin) en fonction des dernières versions de WordPress.

Cachez votre page de connexion

Un moyen courant de piratage est ce que l’on appelle une « attaque par force brute ». Les pirates exécutent un programme qui tente de deviner votre nom d’utilisateur et votre mot de passe en essayant à plusieurs reprises des milliers de combinaisons possibles. Ils font cela sur votre page de connexion en tant qu’administrateur en la devinant si elle est de type classique du genre blog.votresite.com/wp-login.php.

Un bon moyen de se protéger contre ce genre d’attaque en ligne est de changer sa page de connexion et de ne pas utiliser l’URL de connexion par défaut. Certains plugins de sécurité proposent cette option mais il existe aussi des plugins spécialisés pour rediriger votre page de connexion sous une autre adresse de type blog.votresite.com/bonjour.php ou tout autre format à votre libre choix. Ainsi les robots des hackers ne sauront pas quelle est votre page de connexion au back-office de votre blog et ne pourront pas y tenter des attaques de force brute.

Si vous avez peur d’utiliser cette fonction, changez votre login et mot de passe régulièrement (et notez-le en local quelque part) de manière assez complexe. Surtout ne jamais garder le login et mdp à défaut et ultra simpliste comme « admin/0000 » !

Installez uniquement des plugins de confiance

Les pirates peuvent facilement accéder à votre blog via les plugins que vous installez. Lorsque vous installez un plugin, vous leur permettez d’accéder aux fichiers principaux trouvés dans votre installation WordPress. C’est pourquoi vous devez être prudent lorsque vous installez un plugin sur votre blog. Ils peuvent eux-mêmes posséder une faille de sécurité, ou encore être manipulé comme de simples chevaux de Troie par des pirates.

Pour cela, veillez à respecter certaines règles lorsque vous choisissez un nouveau plugin pour votre blog :

• Il doit figurer dans le répertoire des plugins sur WordPress.org : s’il en est absent, il y a de fortes chances pour qu’il ne soit pas légitime. Néanmoins, certains plugins premium ne se trouvent que sur le site de leur fabricant (en revanche leur version gratuite est souvent sur WordPress.org)

• Il doit avoir un nombre d’étoiles suffisant : la note accordée par les utilisateurs est essentielle pour se faire une idée de la qualité d’un plugin. En dessous de 4 ou 5 étoiles il y a de fortes chances qu’il y ait un problème de qualité et de sécurité.

• Il doit avoir été mis à jour récemment : si un plugin n’a pas été mis à jour depuis plus de 6 mois, sa sécurité peut être prise en défaut. Il y a aussi de fortes chances qu’il ne soit pas totalement compatible avec la dernière version de WordPress. A éviter voire à fuir !

Sécurisez votre connexion avec un VPN

Un VPN est très important pour être certain que vos données de connexion internet ne puissent pas être piratées et ne puissent être lues par des tiers. C’est en effet la définition d’un VPN : chiffrer vos données transmises à chaque fois que vous connectez, rendre anonyme votre identification sur le réseau et aussi protéger votre connexion via un tunnel qui cache vos données aux yeux de personnes trop curieuses. Avec une connexion non protégée, il est facile pour un pirate de récolter vos mots de passe, vos identifiants et de se connecter ensuite au back-office de votre blog pour le subtiliser.