Sécuriser un site WordPress en 5 minutes chrono

Wordfence pour sécuriser votre site ou blog WordPressJe vous propose aujourd’hui un article rédigé par Samuel Badjagou du blog Kaféine Marketing sur la sécurité WordPress.

Vous voulez protéger votre site WordPress contre le piratage, mais vous n’y connaissez rien en sécurité informatique? Voici comment mettre en place gratuitement une protection d’un bon niveau en seulement 5 minutes.

Vous aussi vous êtes concerné

Beaucoup des professionnels que je conseille pour leur marketing internet négligent les risques de piratage. Ils pensent que cela n’arrive qu’aux sites les plus visibles, où à ceux qui hébergent des données sensibles.

C’est complètement faux.

A titre d’exemple, sachez que le dernier de mes sites à avoir été ciblé par un pirate n’a rien d’un géant du web: il reçoit en moyenne 150 visites par jour, et je ne vends rien directement dessus.

Ce site reçoit simplement des liens d’autres sites que mes prospects fréquentent, et il est dans le top 3 de Google pour plusieurs mots-clés dans sa thématique. C’est le meilleur moyen d’attirer un maximum de visiteurs qualifiés dessus, et malheureusement il n’en faut pas plus pour faire venir les pirates et spammeurs en tout genre.

Je ne connais pas votre stratégie web, mais je suis à peu près sûr qu’elle implique de faire connaître votre site. Alors vous avez tout intérêt à prendre 5 minutes pour vous préparer à recevoir des visiteurs indésirables.

Vous êtes convaincu? Alors découvrez le plugin qui mettra votre site web d’entreprise à l’abri de presque tout ce que les pirates pourraient tenter.

Une solution tout-en-un

Ce plugin c’est Wordfence, et c’est pour moi la meilleure solution de sécurité pour WordPress à l’heure actuelle.

Ce plugin va scanner régulièrement les fichiers de votre site, de vos thèmes et de vos plugins, et détecter les malwares (virus, chevaux de troie, etc). Mieux, si vos fichiers ont été modifiés il vous montre exactement quels sont les changements par rapport aux fichiers d’origine, et peut restaurer tout seul les fichiers infectés.

Il peut détecter les URLs suspectes dans vos pages, dans vos articles, dans les commentaires et dans vos plugins (en se basant sur la safe browsing list dans laquelle Google inscrit tous les sites dangereux qu’il détecte).

Il analyse votre trafic, et vous permet de voir en temps réel tous les accès à votre site, y compris ceux des robots (contrairement aux outils comme Google Analytics par exemple, qui ne vous montrent que les visiteurs humains).

Vous aurez donc des informations détaillées sur tous les accès à vos pages (localisation, adresse IP, navigateur et système d’exploitation utilisés, etc). Et Wordfence fera le tri entre les visiteurs et les robots, et repère les comportements suspects.

Wordfence peut aussi filtrer les adresses IP de votre choix, en leur interdisant d’accéder au site ou de se connecter.

Il va aussi sécuriser tous les mots de passe de votre site. Il vérifie leur niveau de sécurité, il archive toutes les tentatives de connexion et il vous permet de définir un nombre de tentatives maximum pour se connecter. Les pirates qui lancent des programmes pour forcer votre mot de passe ne pourront donc pas accéder à votre site.

Wordfence va considérablement renforcer la sécurité de votre site. Par expérience je peux vous dire que si vous l’utilisez votre site sera mieux protégé que beaucoup de sites internet professionnels.

Et pourtant mettre en place Wordfence est enfantin. Vous pouvez me croire, j’ai des connaissances en webmarketing mais niveau sécurité informatique je suis un novice!

Voyons comment le faire en 5min chrono.

Protégez votre site en 5 minutes

La première chose à faire est d’installer le plugin. Vous pouvez le faire automatiquement depuis le tableau de bord de votre site (en cherchant Wordfence security), ou bien récupérer le plugin ici et l’installer manuellement. Cela vous prendra au maximum 2 minutes.

Ensuite, activez le plugin, et suivez la visite guidée si vous souhaitez vous familiariser avec les menus. Vous en avez pour 1 minute.

Une fois Wordfence activé, il vous faut le paramétrer. Ouvrez le menu d’administration (en cliquant sur l’onglet Wordfence qui est apparu dans la colonne de gauche) et cliquez sur Options. Dans la première fenêtre à remplir, vous allez indiquer à quelle(s) adresse(s) e-mail Wordfence enverra des alertes en cas d’attaque.

La deuxième fenêtre contient un code d’activation qui vous a été automatiquement attribué, vous n’avez pas à y toucher. En dessous se trouve un menu déroulant, qui vous permet de choisir le niveau de sécurité que vous désirez. Si vous ne voulez pas tout paramétrer à la main sélectionnez Level 2, c’est le niveau de sécurité qui convient le mieux. Ensuite cliquez sur Save changes, juste en dessous. Cette étape de paramétrage vous prendra une minute à tout casser.

Et voilà, Wordfence est installé et votre site est protégé!

Pour terminer vous allez simplement lancer un premier scan complet de votre site, en cliquant sur Scan dans le menu de gauche, puis sur le bouton bleu Start a Wordfence Scan.

Wordfence va maintenant scanner tous vos fichiers comme je vous l’expliquais plus tôt, et il vous signalera si certains ont été modifiés.

Ce sera le cas si vous avez WordPress en français. Dans ce cas pas de panique, quand vous verrez apparaître les messages d’alerte vous n’aurez qu’à cliquer sur See how the file has changed pour voir précisément ce qui a été modifié dans le fichier. Il s’agit normalement de passages en anglais qui ont été traduits.

Une fois que aurez vérifié que vos fichiers n’ont subi aucune modification dangereuse, il vous suffira de cliquer sur Ignore until it changes et Wordfence les considèrera comme des fichiers sains pendant ses scans quotidiens.

Il existe une version payante de Wordfence, qui vous offre plus de possibilités et un niveau de service supérieur. Mais même la version gratuite de ce plugin est supérieure à la plupart des outils payants qui existent.

Alors prenez vite 5 minutes pour l’installer!

Mini Bio

Je suis Samuel Badjagou, je m’intéresse au web et à l’IT depuis mes années d’étudiant (ma première tentative de site date de 2004). J’ai travaillé dans ce domaine comme salarié, puis j’ai créé il y a deux ans ma première entreprise (dans le secteur de la publicité), que j’ai développée exclusivement grâce au webmarketing. Je propose mes conseils et mes retours d’expérience sur Kaféine Marketing, un blog webmarketing par un entrepreneur, pour les entrepreneurs (mais sur lequel vous êtes le bienvenu quel que soit votre métier ;)).

  1. Bonjour et merci pour le plugin.
    Sans être non plus un gros blog et avec une très petite ambition, j’ai été violemment attaqué le mois dernier, par des IP asiatiques. Il semble qu’il n’y ait pas trop de dégâts, mais maintenant je prends la sécurité très au sérieux, y compris l’importance de ce genre de plugin.
    Au passage, très beau choix de thème …

  2. L’ayant installé sur mon blog il y a de cela 2 mois, je confirme son efficacité, il renvoie aussi des messages si quelqu’un d’autre se connecte à votre blog en tant qu’administrateur, chez moi il surveille même mes allées et venues quand je me connecte par le biais d’une connection inhabituelle, allez hop petit mail (machine infernale) O_o!! Petit message aussi lorsqu’un autre plugin a besoin d’être mis à jour. Bref il est réellement efficace … Je conseille aussi, et il est en effet très simple à installer.

  3. Je te suis Samuel, je te suis 😉 Tout d’abord merci à Bruno pour la tribune qu’il t’offre. Sympa. Encore un tuto dont tu as le secret Samuel. WP est la base pour toute personne initiée ou non qui souhaite se lancer dans un projet Web. Performant, puissant et complet (notamment grâce aux plug-in !), WordPress possède certaines failles que spammer et hacker s’amusent à attaquer… :/ je connais malheureusement le problème… Certains de mes sites sont scannés en permanence et je dois pas etre le seul…

    Bref, je confirme que Wordfence est un excellent outil pour suivre l’activité « technique » de son site plutôt simplement, j’entends pas là sans être un technicien !

    Encore merci Samuel pour cette présentation bien exhaustive de ce plug-in que je recommande vivement.

  4. Bonjour à tous,

    @Stef: Merci pour le thème, mais personnellement je le trouve un peu terne à mon goût!
    La sécurité a l’air de devenir de plus en plus un fléau, y compris pour des blogs dont on pourrait croire qu’ils n’attirent pas les pirates.
    D’où l’avertissement de Samuel qui m’a déjà mis la puce à l’oreille il y a quelques mois!

    @Michaela: Merci pour ton retour d’expérience qui conforte Samuel!

  5. Bonjour Eric,

    Je t’ai supprimé ton lien CommentLuv, car il était identique à celui de ton ancre, or 2 fois le même lien sur une même page, ça n’a aucun intérêt!
    La prochaine fois, profites-en pour lier une page de ton blog.
    Merci de ta compréhension.

  6. Bonjour Stef,

    C’est exactement ce qui était arrivé au site de niche que j’évoque dans l’article, et après vérification les pirates avaient inséré des scripts dans beaucoup de mes fichiers.

    Donc si vous avez un WordPress je vous encourage vivement à installer Wordfence et à lancer un scan pour voir ce qu’il en est. Et sinon le plus sûr est d’effacer les fichiers de votre serveur et de les remplacer par des fichiers sains (issus du site de l’éditeur si vous utilisez un CMS, ou à défaut d’un ancien backup).

  7. Ce plugin est tout simplement génial !
    Moins de 10 minutes pour l’installer et le configurer. Les options comme le bloqueur d’IP ou le trafic en live sont tout simplement magnifiques.

    Merci pour ce partage =)

  8. Merci pour tous ces renseignements montrant la mise en place d’un plugin est vraiment très bien expliquée. Sinon, cet article tombe à pic pour moi. Je tiens enfin à te féliciter pour votre article clair et détaillé. Cordialement.

  9. Bonjour Samuel,

    Juste un petit doute, car mon niveau d’anglais n’est pas au top, Que faut-il choisir sur « Options » > « How does Wordfence get IPs: », pour le moment j’ai mis : « Use PHP’s Built in REMOTE _ADDR ».

  10. Bonjour Juan,

    Normalement si tu n’utilise pas de proxy ou de firewall c’est le bon choix, donc si ça marche comme ça ne change rien (pour vérifier il te suffit d’aller voir dans live traffic si les IP sont bien résolues.

    Désolé pour la réponse tardive, je viens de voir ton commentaire (en même temps Bruno ne l’a pas publié tout de suite, donc c’est un peu sa faute ;)).

  11. Salut Samuel,

    Désolé, mais je ne suis pas h24 à surveiller les commentaires du blog.
    Et ne te plains pas, car certains ont dernièrement dû attendre 2 ou 3 semaines pour voir leurs commentaires validés (j’étais cloué au lit).

  12. Je suis naze dans tout ça, donc mal placé pour lancer des vérités vraies.

    En fait je disais ça parce qu’il y a eu correspondance entre le moment ou le plugin a été installé et une diminution d’au moins 80% des indésirables.

    D’où pour moi, de faire le lien de causse à effet…sans rien garantie bien sûr 🙂

  13. Bruno et Samuel, le grand amateur de plugin que je suis vous remercie 🙂 Oui, je sais, je sais … Il ne faut pas en abuser. Mais la vie est tellement plus simple avec un bon plugin !

    En l’occurrence, je cherchais justement un plugin orienté sécurité. Je fais quelques opérations « de base » pour sécuriser mes blogs (htaccess, mot de passe, …) mais je ne faisais rien de particulier pour WordPress. Il semblerait que j’ai trouvé là un prétendant à ma toolbox-plugin.

    Je n’ai jamais eu de problème particulier avec mes blogs. Mais venant de la production informatique, je sais d’expérience qu’il vaut mieux prévenir que guérir 🙂

  14. Hello et merci pour cette review.

    Je n’aime pas trop installer des plugins à la volée, je trouve que c’est parfois dangereux (on ne sais jamais trop ce qui peut passer par la tête de son concepteur) et plutôt pénalisant à terme (un trop grand nombre de plugins et de scripts exécutés auront tendance à ralentir le site).

    Mais après cette présentation, je pense que si l’on décide de dédier un seul et unique plugin à la sécurité, cela peut être celui-ci. Je vais donc envisager son installation sur mes sites les plus sensibles.

  15. Whouah il s’est lâché Sam, bon article, perso j’utilise better wp security il m’a bloqué pas mal d’intrusion dont un brute force sur mon admin, je recommande

  16. Sympa ce plugin je ne le connaissais pas et vais m’empresser de le tester pour comparer avec WP Security que j’utilise jusque là.

    Et il est toujours très utile de rappeler qu’en effet les attaques ne ciblent pas forcément les plus gros sites ni ceux qui abritent des données sensibles… Malheureusement 90% des attaques sont lancées à l’aveuglette sur des critères qui n’ont rien à voir avec le contenu du site concerné mais très souvent parce qu’ils se présentent simplement comme étant des cibles faciles… Ce qui est justement le cas de la majorité des « petits » sites.

  17. Bonjour Bruno et Samuel,

    Par cette après-midi fraiche et pluvieuse je décide de perfectionner mes capacités à me servir de WordPress, j’ouvre mon admin et voit cet extension, avant l’installer je vais à la pêche aux infos et tombe sur ton site (je t’ais déjà aperçu sur g+) encore un site bien foutu et clair pour la novice que je suis. Cependant je me pose une question est-ce que ce plugin n’a pas une incidence sur la vitesse de son site ? Ça m’a fait le coup avec un anti-virus sur mon pc qui tournais tout le temps en tache de fond et qui ralentissait tout le système.
    Je crois que je suis en train de me forger une réputation de poseuse de questions sur les blogs WordPress à caractère technique (et oui je débute et cherche des infos pas chères). Alors en voici une : Est-ce que ce plugin est installé sur ton blog et celui de Samuel ?
    @mitié

  18. Bonjour Sandrine,

    Sois la bienvenue ici 🙂

    Je n’ai pas installé le plugin en question sur ce blog qui est déjà protégé par un autre, mais je l’ai fait sur celui de mon agence et à priori, je dirai qu’il n’y a pas de ralentissement notoire.
    Il n’y a aucun mal à débuter, ni à poser des questions, nous sommes tous passé par là et je préfère de loin ceci plutôt que des commentaires sans valeur du type « super article »!

    Amicalement,

    Bruno

  19. Depuis quelques semaines que j’ai installé le plugin Wordfence sur mon site et il fonctionne impeccablement, plus de souci depuis qu’il sécurise le site.

    Merci encore

  20. Bonjour Bruno,
    Merci pour ta réponse et ton accueil.
    Quant aux commentaires sur les articles je vois pas l’intérêt de dire « super article» , mais dès fois quand tu cherches une info depuis deux jour et que tu tombes sur le site qui a la réponse t’a envie de lui dire un grand merci voir de l’embrasser.
    A très bientôt
    Sandrine.

  21. Bonjour Sandrine,

    Rien ne t’empêche de remercier sans poser de lien (comme tu as fait avec ton dernier commentaire) ou en utilisant simplement le formulaire de contact.

  22. Merci pour l’article.
    Le plugin m’a l’air intéressant.
    J’ai fais quelques sites sur wordpress sans jamais me soucier de la sécurité depuis quelques mois et dernièrement au boulot mauvaise surprise, j’ai été hacké à plusieurs reprise et j’ai perdu des dizaines et dizaines d’heures de boulot.
    Je vais donc me pencher sur cette solution dès que j’aurai un peu plus de temps.
    Merci pour l’article

  23. Bonsoir,
    Merci pour cet article. Ce plug-in est la dernière chance pour moi néophyte avant de baisser les bras. Je me suis fait hacker 7 fois en2 mois. Pour le 1er hacking j’ai mis 2 semaines à m’en remettre et essayer tant bien que mal de nettoyer.
    Je viens de paramétrer ce plug-in après 3 haïks espacés de 5mn (un ami informaticien m’enlevait le script vérusé au fur et à mesure) et j’espère que ça va marcher.
    Bref, je raconte ma vie 🙂
    Je tiens à souligner l’importance de faire des bumps régulières de la base SQL, j’ai pu récupérer tous mes articles comme ça et franchement ça n’a pas de prix !
    Même un petit blog représente de nombreuses heures de travail.
    J’arrête, je sais que je suis bavarde…
    Merci encore

  24. bonjour,

    J’ai un problème avec un site que je suis en train de faire (wordpress), parfois au chargement d’une page il est redirigé vers cette adresse games-iso.com. Je ne sais pas comment faire pour trouver d’ou ça vient, j’ai essayé avec wordfence mais ça ne marche pas – Vous avez une idée ?

  25. Bonjour,
    merci pour cet excellent tuto. malgré les précautions prises, du mot de passe ultra complexe aux maj régulières, ça n’a pas loupé, « me voilà infectée » sur un site en construction (je dirais heureusement) mais en décortiquant le contenu via le FTP j’ai pu voir que c’était un site porno qui avait fait son lit, du moins préparé…
    C’est totalement par hasard que je me suis aperçu de cela. mon site – pas trop mal référencé – était automatiquement dirigé vers une autre page vide « lpka ddns me uk » comme j’étais surprise je suis allée faire une petite recherche et il semblerait que cette adresse soit un site blacklisté et malveillante Dès que j’aurai fait un gros nettoyage j’installe aussitôt Wordfence !

  26. Bonjour,

    Mon blog affiche que l’hébergement est en maintenance, donc j’ai pensé à une attaque. Mais j’ai tout de suite installé Wordfence, et après le scan, rien d’alarmant donc je pense qu’effectivement l’hébergement est en maintenance… Merci pour cet article qui m’a rassurée !

  27. Bonjour Alexandra,

    Sois la bienvenue ici 😉
    Comment as-tu pu installer une extension si le serveur sur lequel ton blog est hébergé était en maintenance?
    Par ailleurs, de quel hébergeur s’agit-il et pour laquelle de ses offres as-tu opter?
    Par ailleurs, en parlant de rassurer, Wordfence n’est pas toujours très rassurant dans le sens où il envoie régulièrement des messages qui tendent à faire peur.
    Ainsi, lorsque vous modifiez certains fichiers, vous recevrez quelques heures (parfois nombreuses) plus tard un message vous avertissant qu’il y a un problème sur votre blog et que des fichiers ont été modifiés.
    Alors attention à ne pas paniquer pour rien 😉

    Amicalement,

    Bruno