Le piratage informatique: voilà le nouveau fléau qui menace des millions de blogs chaque. Tous les jours, des dizaines de milliers de blogs se font pirater, obligeant très souvent leurs propriétaires à tout abandonner ou à tout recommencer à zéro. Et ce n’est pas parce que cela ne vous ai peut-être jamais arrivé que vous devez penser que vous êtes à l’abri. En plus, il n’y a pas que les blogueurs célèbres qui se font pirater.

Il suffit d’un concours de hacking au Pakistan (comme il y a quelques mois) pour voir plus 125.000 blogs français se faire pirater. Pour certains pirates, c’est un jeu, pour d’autres c’est de l’entrainement, et pour une autre catégorie, il peut aussi s’agir d’un excellent moyen de faire du phishing.

1. Déplacez le fichier wp-config d’un niveau plus haut
Le fichier wp-config est un fichier qui contient toutes les informations de configuration de votre blog ainsi que tous les paramètres WordPress. Un pirate (hacker) qui accède à ce ficher est capable d’injecter des codes malveillants sur vos pages, ou pire encore, de supprimer tout le contenu de votre blog WordPress. je vous laisse imaginer la suite…

Parce que ce fichier est le plus important, je crois que vous devriez le sécuriser, le mettre à l’abri des hackers.

Il existe une fonctionnalité WordPress qui est peu connue des blogueurs et des installeurs de blogs WordPress, et pourtant, elle peut leur sauver la vie. En fait, WordPress vous permet de déplacer votre fichier wp-config d’un niveau au-dessus de la racine de votre blog WordPress.

Sur la plupart des serveurs Linux, fichier wp-config est situé à l’emplacement suivant :
~ / Home / user / public_html / wp-config.php

Pour le déplacer d’un niveau plus haut, voici ce que vous devez faire :
–  Connectez-vous à votre serveur (espace disque) via votre logiciel FTP
–  Allez dans l’emplacement suivant : ~ / Home / user / public_html /
–  Couper le fichier  wp-config.php (pensez à le télécharger sur votre disque dur avant… on ne sait jamais)
–  Remonter d’un niveau plus haut, c’est-à-dire à cet emplacement : ~ / Home / user /
–  Collez votre fichier wp-config de façon à ce que l’adresse soit la suivante :
~ / Home / user / wp-config.php

Soyez tranquille… vous n’avez rien à craindre. Votre blog continuera à fonctionner correctement. En faisant cela, vous mettez votre fichier en dehors de la racine de votre espace d’hébergement, il ne sera désormais plus accessible aux scripts et bots que les pirates utilisent fréquemment pour attaquer votre blog.

Vous n’avez aucun paramètre à configurer car WordPress (qui autorise cette manipulation) sait exactement où est-ce qu’il doit chercher ce fichier. Facile non ?

Remarque : Cette astuce ne fonctionne pas pour les blogs installés en sous-domaine (exemple : public_html / blog) ou pour les domaines additionnels créés à partir de votre cPanel (exemple : public_html / votreblog.com).

C’est logique à mon avis. On court dans ce cas le risque de se retrouver avec plusieurs fichiers wp-config. Mais comme ils portent tous le même nom et qu’il n’y a qu’une seule place à prendre par emplacement… vous comprenez pourquoi seul le blog installé à la racine est autorisé.

2. Supprimez votre compte « admin »
Le compte par défaut lors de l’installation d’un blog WordPress a « admin » comme nom d’utilisateur. Il se trouve que la très grande majorité de blogueurs utilisent ce nom d’utilisateur par défaut… mais ce qu’ils ignorent c’est qu’en faisant ce choix, ils augmentent automatiquement leurs chances de se faire pirater.

La plupart des pirates savent très bien que de nombreux blogs utilisent admin comme nom d’utilisateur WordPress, ce qui leur donne donc un nom d’utilisateur… tout ce qu’il leur reste à faire c’est de trouver le mot de passe qui est lui aussi très souvent facile à deviner. Compliquez-leur un peu plus la tâche en choisissant un nom d’utilisateur différent lors de l’installation de votre blog WordPress.

Si celui-ci est déjà installé, alors je crois que vous devriez suivre la procédure suivante :
–    Connectez-vous à votre tableau de bord WordPress
–    Sur la barre latérale à gauche, cliquez sur « Utilisateurs », ensuite sur « ajouter »
–    Créez un nouvel utilisateur et donnez-lui le rôle d’administrateur
–    N’oubliez pas de choisir un mot de passe difficile à deviner (exemple : ALAIN2vidal?)
–    Déconnectez-vous, puis reconnectez-vous avec les identifiants du nouvel utilisateur

Allez ensuite sur page >>Utilisateurs>>Tous les utilisateurs>> et supprimez l’utilisateur « admin ». Si vous le souhaitez, vous pouvez ensuite attribuer tout le contenu de cet utilisateur au nouvel utilisateur avant la suppression définitive de votre compte précédent.

3. Faites des mises à jour régulières
Que ce soit celles de WordPress, vos plugins ou encore votre thème, faites des mises à jours chaque fois qu’une notification s’affiche sur votre tableau de bord.

Lors de la configuration de nombreux blogs appartenant à nos clients (blogpascher.com), j’ai été surpris de voir que plus de 90% d’entre-eux négligeaient toutes les notifications de mises à jour.

Sachez qu’une mise à jour WordPress, d’un thème ou d’un plugin ne vous apporte pas seulement de nouvelles fonctionnalités, elle contient très souvent aussi de nouvelles mesures de sécurité. Plus le temps passe, plus un thème ou un plugin a des failles visibles qu’un pirate peut utiliser pour attaquer votre blog et s’en servir à sa guise.

Pensez donc à faire des mises à jour chaque fois que vous recevez une notification. WordPress a tellement facilité ce processus que cela se fait en deux clics maximum. En plus, cela ne vous prendra même pas 30 secondes et vous épargnera des heures, des jours ou même des mois de frustration et maux de têtes si jamais votre blog venait à se faire pirater.

Demandez aux victimes de hacking… elles vous diront toutes qu’il n’y a rien de pire pour un blogueur que de se faire pirater et perdre toutes ses données.

4. Installez WP Security Scan et sécurisez WordPress
L’utilisation de certains plugins de sécurité, réduit les chances que votre blog se fasse pirater. Je vous conseille d’installer les plugins suivants : WordPress Security Scan et Secure WordPress.

Ces deux plugins apportent de nombreuses fonctionnalités qui rendront votre blog plus sûr.

  • Le Scanner vérifie les permissions des fichiers WordPress et met en évidence tous ceux dont les permissions sont erronées.
  • Le Password Tool vous indique la force de votre mot de passe et génère également des mots de passe aléatoires que super-forts que vous pouvez utiliser si vous le souhaitez.
  • Le Database est un outil qui vous permet de sauvegarder votre base de données WordPress. Il vous permet aussi de modifier le préfixe de cette dernière. Utilisez-le pour changer le préfixe de votre base de données. Passez de quelque chose comme ça : ‘’wp_’’ à quelque chose comme ça : ‘’8bvn9_’’. Cela compliquera la tâche aux pirates qui essayeront de deviner vos noms de tables de base de données.

Restez vigilant

Les conseils et astuces ci-dessus vont considérablement améliorer la sécurité de votre blog et réduire vos chances d’être la cible de pirates informatiques. Cependant, gardez toujours en tête que la sécurité d’un blog est un processus continu. Vous devez rester vigilant et vous informer des dernières techniques de protection d’un blog WordPress, surtout si vous l’utiliser pour générer de l’argent sur internet.

Et si vous voulez confier le travail à des professionnels, je vous recommande vivement de contacter le site BlogPasCher.com qui se changera de sécuriser votre blog à votre place.

Pour en savoir plus sur le sujet, je vous recommande l’article suivant: 8 mythes sur la sécurité de blogs / sites WordPress