Après avoir livré une âpre bataille contre des vilains pour protéger le site internet de multiples attaques, je crois indispensable de vous donner quelques conseils simples pour sécuriser votre site.
Lancés essentiellement depuis la Russie, ces assauts (plus de 400 notifiés en quelques secondes et toujours d’adresses IP différentes) ont tenté de se connecter à l’espace d’administration de WordPress.
Le but ? Y glisser leur propre contenu, détruire le vôtre, nuire à votre activité, à la réputation de votre hébergeur, récupérer des infos personnelles, ou de paiement,… les raisons ne manquent pas.
Faisons le point sur les réflexes de base à adopter lorsque vous possédez un site sous CMS (WordPress ou autre).
Veiller aux mises à jour de votre CMS et des extensions
Pour assurer la sécurité maximale de votre site contre les tentatives de piratages, il est indispensable de veiller à ce que l’outil WordPress et les extensions installées soient régulièrement mis à jour. Mirobolus propose un forfait annuel pour garantir que ces mises à jour seront effectuées chaque fois qu’elles seront nécessaires.
Remarque : ces opérations demandent de la prudence. Elles peuvent en effet interférer sur l’affichage et le fonctionnement de votre site si les éléments à mettre à jour ont été fortement modifiés par leurs développeurs.
Consultez votre webmestre préférée !
Adopter un identifiant complexe et le masquer
Le formulaire de connexion étant composé d’un champ « Identifiant » et d’un champ « Mot de passe », le but est de bombarder le formulaire de combinaisons les plus communément utilisées. Les listings de mots de passe valent d’ailleurs de l’or actuellement sur le marché de la piraterie !
Voici les mots qui ont été testés pour le champ Identifiant lors de cette attaque :
- admin (vous savez ? l’identifiant d’administrateur créé par défaut par WP que la plupart des blogueurs ne suppriment pas)
- administrator
- test
- le domaine (en l’occurrence lacauquiere)
On peut retenir qu’il est ABSOLUMENT essentiel de choisir un identifiant très personnalisé, sans lien si possible avec des textes présents dans votre domaine ou dans vos titres de page, ni bien sûr vos noms/prénoms.
Choisissez un bon pseudo bien alambiqué. N’hésitez pas à y glisser un ou deux caractères spéciaux.
Masquer l’identifiant
Faites-en sorte que votre identifiant n’apparaisse pas sur le site public : Pour cela, pour WordPress, dans « Utilisateurs » > « Votre profil », sélectionnez le « Nom à afficher publiquement » dans les suggestions proposées par WP sur la base des infos que vous lui avez données (prénom ; nom ; pseudonyme).
Le but est donc, vous l’aurez compris, de compliquer le plus possible la tâche aux méchants pirates.
Changer régulièrement son mot de passe de connexion
Modifiez votre mot de passe au moins deux fois par an.
Le décryptage de votre mot de passe sera rendu plus difficile si vous adoptez un mot de passe long :
- plus de 10 caractères,
- comportant des majuscules, des minuscules, des chiffres, des caractères spéciaux (ponctuation, arobase, dièse…).
WordPress dispose d’un générateur de mot de passe dans la page de votre profil utilisateur.
Vous pouvez également utiliser cet outil en ligne : https://www.motdepasse.xyz/
Avoir un profil Administrateur et un profil Éditeur
Je conseille toujours d’utiliser deux profils-utilisateurs : le profil Administrateur, qui permet d’accéder à tous les réglages du site et aux fonctionnalités avancées, le profil Éditeur pour le travail rédactionnel quotidien.
Utilisez ce dernier au quotidien allègera votre tableau de commandes et vous évitera de faire une mauvaise manipulation.
Mirobolus veille sur votre site !
Mirobolus installe et configure systématiquement un outil qui surveille la bonne santé de votre site, qui bloque les tentatives de connexion et les adresses IP suspectes et effectue une sauvegarde périodique de votre base de données.
Un forfait annuel de maintenance technique est proposé pour effectuer automatiquement ces opérations de sauvegarde, de mises à jour et de surveillance dès qu’elles sont nécessaires.