skip to Main Content

4 astuces pour protéger son blog des attaques de pirates (hackers)

Divi : le thème WordPress le plus facile à utiliser

Divi : Le meilleur thème WordPress de tous les temps !

Avec plus de 600.000 téléchargements, Divi est le thème WordPress le plus populaire au monde. Il est complet, facile à utiliser et livré avec plus de 62 templates gratuits. [ Recommandé ]

Le piratage informatique: voilà le nouveau fléau qui menace des millions de blogs chaque. Tous les jours, des dizaines de milliers de blogs se font pirater, obligeant très souvent leurs propriétaires à tout abandonner ou à tout recommencer à zéro. Et ce n’est pas parce que cela ne vous ai peut-être jamais arrivé que vous devez penser que vous êtes à l’abri. En plus, il n’y a pas que les blogueurs célèbres qui se font pirater.

Il suffit d’un concours de hacking au Pakistan (comme il y a quelques mois) pour voir plus 125.000 blogs français se faire pirater. Pour certains pirates, c’est un jeu, pour d’autres c’est de l’entrainement, et pour une autre catégorie, il peut aussi s’agir d’un excellent moyen de faire du phishing.

1. Déplacez le fichier wp-config d’un niveau plus haut
Le fichier wp-config est un fichier qui contient toutes les informations de configuration de votre blog ainsi que tous les paramètres WordPress. Un pirate (hacker) qui accède à ce ficher est capable d’injecter des codes malveillants sur vos pages, ou pire encore, de supprimer tout le contenu de votre blog WordPress. je vous laisse imaginer la suite…

Parce que ce fichier est le plus important, je crois que vous devriez le sécuriser, le mettre à l’abri des hackers.

Il existe une fonctionnalité WordPress qui est peu connue des blogueurs et des installeurs de blogs WordPress, et pourtant, elle peut leur sauver la vie. En fait, WordPress vous permet de déplacer votre fichier wp-config d’un niveau au-dessus de la racine de votre blog WordPress.

Sur la plupart des serveurs Linux, fichier wp-config est situé à l’emplacement suivant :
~ / Home / user / public_html / wp-config.php

Pour le déplacer d’un niveau plus haut, voici ce que vous devez faire :
–  Connectez-vous à votre serveur (espace disque) via votre logiciel FTP
–  Allez dans l’emplacement suivant : ~ / Home / user / public_html /
–  Couper le fichier  wp-config.php (pensez à le télécharger sur votre disque dur avant… on ne sait jamais)
–  Remonter d’un niveau plus haut, c’est-à-dire à cet emplacement : ~ / Home / user /
–  Collez votre fichier wp-config de façon à ce que l’adresse soit la suivante :
~ / Home / user / wp-config.php

Soyez tranquille… vous n’avez rien à craindre. Votre blog continuera à fonctionner correctement. En faisant cela, vous mettez votre fichier en dehors de la racine de votre espace d’hébergement, il ne sera désormais plus accessible aux scripts et bots que les pirates utilisent fréquemment pour attaquer votre blog.

Créez Facilement votre site Web avec Elementor

Elementor vous permet de créer facilement n'importe quel design de site Web avec un look professionnel. Arrêtez de payer cher pour ce que vous pouvez faire vous-même. [ Gratuit ]

Vous n’avez aucun paramètre à configurer car WordPress (qui autorise cette manipulation) sait exactement où est-ce qu’il doit chercher ce fichier. Facile non ?

Remarque : Cette astuce ne fonctionne pas pour les blogs installés en sous-domaine (exemple : public_html / blog) ou pour les domaines additionnels créés à partir de votre cPanel (exemple : public_html / votreblog.com).

C’est logique à mon avis. On court dans ce cas le risque de se retrouver avec plusieurs fichiers wp-config. Mais comme ils portent tous le même nom et qu’il n’y a qu’une seule place à prendre par emplacement… vous comprenez pourquoi seul le blog installé à la racine est autorisé.

2. Supprimez votre compte « admin »
Le compte par défaut lors de l’installation d’un blog WordPress a « admin » comme nom d’utilisateur. Il se trouve que la très grande majorité de blogueurs utilisent ce nom d’utilisateur par défaut… mais ce qu’ils ignorent c’est qu’en faisant ce choix, ils augmentent automatiquement leurs chances de se faire pirater.

Cherchez-vous les meilleurs thèmes et plugins WordPress ?

Téléchargez les meilleurs plugins et thèmes WordPress sur Envato et créez facilement votre site web. Déjà plus de 49.720.000 de téléchargements. [EXCLUSIF]

La plupart des pirates savent très bien que de nombreux blogs utilisent admin comme nom d’utilisateur WordPress, ce qui leur donne donc un nom d’utilisateur… tout ce qu’il leur reste à faire c’est de trouver le mot de passe qui est lui aussi très souvent facile à deviner. Compliquez-leur un peu plus la tâche en choisissant un nom d’utilisateur différent lors de l’installation de votre blog WordPress.

Si celui-ci est déjà installé, alors je crois que vous devriez suivre la procédure suivante :
–    Connectez-vous à votre tableau de bord WordPress
–    Sur la barre latérale à gauche, cliquez sur « Utilisateurs », ensuite sur « ajouter »
–    Créez un nouvel utilisateur et donnez-lui le rôle d’administrateur
–    N’oubliez pas de choisir un mot de passe difficile à deviner (exemple : ALAIN2vidal?)
–    Déconnectez-vous, puis reconnectez-vous avec les identifiants du nouvel utilisateur

Allez ensuite sur page >>Utilisateurs>>Tous les utilisateurs>> et supprimez l’utilisateur « admin ». Si vous le souhaitez, vous pouvez ensuite attribuer tout le contenu de cet utilisateur au nouvel utilisateur avant la suppression définitive de votre compte précédent.

3. Faites des mises à jour régulières
Que ce soit celles de WordPress, vos plugins ou encore votre thème, faites des mises à jours chaque fois qu’une notification s’affiche sur votre tableau de bord.

Lors de la configuration de nombreux blogs appartenant à nos clients (blogpascher.com), j’ai été surpris de voir que plus de 90% d’entre-eux négligeaient toutes les notifications de mises à jour.

Sachez qu’une mise à jour WordPress, d’un thème ou d’un plugin ne vous apporte pas seulement de nouvelles fonctionnalités, elle contient très souvent aussi de nouvelles mesures de sécurité. Plus le temps passe, plus un thème ou un plugin a des failles visibles qu’un pirate peut utiliser pour attaquer votre blog et s’en servir à sa guise.

Pensez donc à faire des mises à jour chaque fois que vous recevez une notification. WordPress a tellement facilité ce processus que cela se fait en deux clics maximum. En plus, cela ne vous prendra même pas 30 secondes et vous épargnera des heures, des jours ou même des mois de frustration et maux de têtes si jamais votre blog venait à se faire pirater.

Demandez aux victimes de hacking… elles vous diront toutes qu’il n’y a rien de pire pour un blogueur que de se faire pirater et perdre toutes ses données.

4. Installez WP Security Scan et sécurisez WordPress
L’utilisation de certains plugins de sécurité, réduit les chances que votre blog se fasse pirater. Je vous conseille d’installer les plugins suivants : WordPress Security Scan et Secure WordPress.

Créez Facilement votre Boutique en ligne

Téléchargez gratuitement WooCommerce, le meilleurs plugins e-commerce pour vendre vos produits physiques et numériques sur WordPress. [Recommandé]

Ces deux plugins apportent de nombreuses fonctionnalités qui rendront votre blog plus sûr.

  • Le Scanner vérifie les permissions des fichiers WordPress et met en évidence tous ceux dont les permissions sont erronées.
  • Le Password Tool vous indique la force de votre mot de passe et génère également des mots de passe aléatoires que super-forts que vous pouvez utiliser si vous le souhaitez.
  • Le Database est un outil qui vous permet de sauvegarder votre base de données WordPress. Il vous permet aussi de modifier le préfixe de cette dernière. Utilisez-le pour changer le préfixe de votre base de données. Passez de quelque chose comme ça : ‘’wp_’’ à quelque chose comme ça : ‘’8bvn9_’’. Cela compliquera la tâche aux pirates qui essayeront de deviner vos noms de tables de base de données.

Restez vigilant

Les conseils et astuces ci-dessus vont considérablement améliorer la sécurité de votre blog et réduire vos chances d’être la cible de pirates informatiques. Cependant, gardez toujours en tête que la sécurité d’un blog est un processus continu. Vous devez rester vigilant et vous informer des dernières techniques de protection d’un blog WordPress, surtout si vous l’utiliser pour générer de l’argent sur internet.

Et si vous voulez confier le travail à des professionnels, je vous recommande vivement de contacter le site BlogPasCher.com qui se changera de sécuriser votre blog à votre place.

Pour en savoir plus sur le sujet, je vous recommande l’article suivant: 8 mythes sur la sécurité de blogs / sites WordPress

Cet article comporte 10 commentaires

  1. Bonjour Thierry !
    Alors moi justement une amie que je suis entrain d’aider a son blog en sous domaine http://www.exemple.com/wordpress au fait on peut y acceder dans les 2 cas (www.exemple.com et http://www.exemple.com/wordpress) elle voudrait justement supprimer le sous domaine et l’avoir a la racine durectement. Est ce qu’en allant sur ftp on peut tout simplement tout basculer sur la racine sans risque de perdre des donnees ???
    je vous remercie pour une quelconque aide
    Sam

    1. Bonjour Sam,

      Je crois que vous devez apporter les modifications au niveau de PhpMyadmin. Mais avant, il faut d’abord supprimer le multisite.

      J’espère avoir aidé.

  2. Bonjour Thierry,

    Il me semble qu`il y a une erreur sur le nouveau chemin que tu indiques pour le fichier config.php, après l`avoir remonter d`un niveau plus haut. Non ?
    Amicalement,

    Laurent.O

    1. Bonsoir Laurent,

      Il n’y a pas d’erreur. Tu déplaces le fichier wp-config.php un niveau au dessus du dossier public html (wwww). Et ça marchera.

      1. Bonjour Thierry,

        Oui, c`est bien cela.
        Donc le nouveau chemin sera home/user/config.php et non home/user/public_html/config.php comme tu l`indiques 😉
        Cordialement,

        Laurent.O

        1. Bonsoir,

          Lorsque tu te connecte à ton ftp tu as un dossier /public_html C’est dans ce répertoire que tu mets le fichier config. et non dans le dossier public_html où se trouvent les autres fichiers wordpress.

  3. Bonjour,

    Merci beaucoup pour votre article, ça aide bien.

    J’aurais une question, est-ce que pour la méthode de remonter le fichier wp-config.php ça peut empêcher la mise-à-jour automatique de wordpress?

    Merci infiniment et bon week-end.

  4. Bonjour Thierry,

    Ton article est très précieux pour les débutants – communauté passionnante et bien représentée
    à laquelle j’appartiens nettement 😉

    L’une de tes recommandations a attiré mon attention :
    « Couper le fichier wp-config.php (pensez à le télécharger sur votre disque dur avant… on ne sait jamais) »

    Cela signifie-t-il qu’il s’agit d’ien une procédure que l’on peut systématiser pour se soustraire aux défis des hackers ?

    Une telle possibilité de sauvegarde réglière, redondante avec les autres systèmes de protection
    existants, serait bien tranquillisante.

    En confirmes-tu la possibilité ?

    Merci pour ta réponse.

    Bonne journée à toi,

    Carole

    1. Bonjour Carole,

      Tout d’abord, je tiens à te remercier pour ton commentaire. c’est très apprécié.
      Ensuite, et pour répondre à ta question, je tiens à préciser qu’il ne s’agit pas d’une méthode miracle qui te permettra de mettre ton blog à l’abri des hackers. Il s’agit juste d’une action qui réduit tes chances de te faire pirater ton blog.

      Comme j’ai l’habitude de le dire, si même des sites du gouvernement américain se font hacker, ce n’est pas celui d’un simple blogueur qui ne le sera pas. 🙂

      Appliques donc cette méthode sans soucis.

      Amicalement,
      Thierry

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Back To Top
24 Partages
Partagez24
Tweetez
Enregistrer