Depuis quelque temps, nous pouvons lire que plusieurs sites WordPress ont subi des attaques de force brute et qu’il faut renforcer la sécurité de nos sites. J’ai déjà parlé de sécurité WordPress ici et ici.

Lorsque je crée et gère un site WordPress, je m’assure d’appliquer ces principes de base sur tous les sites de mes clients :

1. Choisissez un autre nom d’utilisateur pour l’administrateur.
Voici quelques-uns des noms les plus utilisés par les robots (Botnets) durant les attaques. C’est ce que j’ai vu d’après les rapports de mon extension de sécurité. J’en parle plus loin.

admin
admin1
administrator
manager
support
test
user
qwerty
adm

Si votre nom d’utilisateur est admin, voici comment régler la situation et assurer la protection de votre site :

  • Connectez-vous au tableau de bord WordPress;
  • cliquez sur utilisateurs;
  • ajoutez un nouvel utilisateur avec un autre nom qu’admin et donnez-lui le rôle d’administrateur. Vous devrez entrer une autre adresse courriel que l’adresse de l’admin actuel;
  • enregistrez  ce nouvel utilisateur;
  • déconnectez-vous de WordPress;
  • connectez-vous avec les identifiants du nouvel utilisateur;
  • rendez-vous dans les utilisateurs et supprimez le compte admin;
  • cliquez pour « attribuer tous les articles à : le nom du nouvel utilisateur que vous avez créé.

2. Choisissez un mot de passe complexe.
Votre mot de passe doit être assez long (minimum 8 caractères) et contenir une combinaison de chiffres, de lettres et un ou plusieurs symboles. Évitez les combinaisons évidentes avec le titre du site, celles de type admin et les séquences comme 123456.

3. Sauvegardez, sauvegardez, sauvegardez…
J’utilise BackupBuddy qui m’a sauvé la vie à quelques reprises depuis l’an dernier. La meilleure solution demeure un bon plan de sauvegarde avec votre hébergeur. Siteground offre un plan fantastique de sauvegarde quotidienne et j’ai pu récupérer un site d’une cliente en cinq minutes.

4. Verrouillez la porte…
Installez une extension de sécurité qui bloque l’adresse IP après un nombre déterminé de tentatives de connexion. Better WP Security offre la meilleure protection, à condition que votre hébergeur vous fournisse suffisamment de mémoire php profiter de tous les avantages qu’offre cette extension (votre technicien ou votre adjointe en marketing sait de quoi il s’agit). Vous pouvez aussi installer Login Lockdown.

5. Faites vos mises à jour! 
Les pirates surveillent les failles créées par des extensions désuètes (même celles qui sont désactivées!).  Il en va de même pour les thèmes et la version WordPress.  Si vous voyez qu’il y a une mise à jour à faire, sauvegardez et puis faites la mise à jour!

Si vous soupçonnez que votre site a été compromis, écrivez-moi. J’irai vérifier et vous donnerai l’heure juste. Je vous dirai également combien il vous en coûtera pour tout remettre en ligne et éviter que ça ne se reproduise.