Votre site est-il bien protégé ?

par | 19 Oct 2015 | Gestion de contenu et CMS, Wordpress

Je gère une petite vingtaine de sites créés avec WordPress, les miens et ceux de mes clients qui m’en ont confié la responsabilité.

Il y a quelques semestres, le principal problème était le spam dans les commentaires : certains jours on voyait arriver plusieurs centaines de commentaires inappropriés, généralement remplis de liens vers des marques de luxe, des pilules bleues ou des casinos online.

Cette tendance s’est un peu calmée. Depuis quelques mois, ce qu’on voit, ce sont des attaques ayant pour objectif de se connecter au site pour en prendre le contrôle, puis tranquillement l’utiliser afin d’envoyer des spams en masse.

Je reçois chaque jour plusieurs messages qui ressemblent à :

Comme on peut le voir, les attaques viennent de partout, et elles sont nombreuses : plusieurs centaines de tentatives de connexion en une journée sur un petit site d’importance secondaire.

Alors que faire ? Si vous utilisez WordPress, installez de toute urgence les deux extensions suivantes :

• Wordfence
• Ithemes Security

Ce sont deux extensions efficaces et assez simples à mettre en place. Leurs fonctionnalités se recoupent parfois, se complètent souvent. Lisez la documentation, et configurez les intelligemment. Commencez par modifier l’adresse de votre back-office qui se trouve normalement à www.votre-site/wp-admin, puis supprimez l’utilisateur ayant l’identifiant 1, supprimez les utilisateurs aux noms trop simples (« admin », « user »), utilisez des mots de passe renforcés, activez l’exclusion des adresses IP qui effectuent trop de tentatives de connexion erronées… Bref, n’attendez pas et prenez une petite demi-heure pour protéger votre site.

Si vous n’y arrivez pas, faites-moi signe, je peux le faire pour vous. Votre retour m’intéresse, je pense que je vais écrire un article plus complet sur la manière de protéger un thème WordPress.