Le seul Plugin de sécurité indispensable

Bien souvent, quand on installe un blog WordPress, la première préoccupation consiste normalement à s’inquiéter de ne pas être piraté. WordPress étant un système de gestion de contenu, il est sous licence Open-Source, c’est-à-dire dont les codes sources sont disponibles. Ce qui veut dire que tout le monde peut accéder au code source de WordPress. Nous allons voir comment, aisément sécuriser son blog WordPress dans cet article.

Les mises-à-jour

Tout le monde vous le dira, il est indispensable de procéder régulièrement aux différentes mises-à-jour de WordPress, de votre thème ainsi que vos extensions (plugins). C’est la toute première précaution à prendre si l’on veut pas être piraté.

En effet, vu qu’ils ont accès au code source de WordPress, les pirates sont toujours à la recherche de failles de sécurité. Du coup, dès qu’une faille est repérée par les développeurs, ils proposent tout de suite une mise-à-jour. Ne pas faire les mises vous expose donc.

Le plugin indispensable

Pour pouvoir pirater votre blog WordPress, les pirates ont d’abord et avant tout besoin d’un accès à celui-ci avec des droits d’administrateurs. Ils doivent donc trouver le couple identifiant (login) / mot de passe de votre compte. Pour y arriver, une des solutions les plus utilisées et de « brancher » un robot sur votre page de connexion (qui est normalement http://votresite.com/wp-admin/). On injecte alors à ce robot une liste de couple de mots login / mots de passes et le robot va tenter toute la liste. Souvent cette liste contient des dizaine de milliers de couple identifiant / mot de passe.

Le robot (on parle de « bot ») va tourner jusqu’à trouver le bon couple et s’arrêtera alors. Voilà, le pirate possède maintenant un accès à votre blog WordPress et peut faire ce qu’il veut, y compris changer votre mot de passe, vous rendant l’accès à votre propre blog impossible.

Mais le robot travaille généralement depuis un ordinateur distant, donc avec une même adresse IP (même s’il est possible d’en utiliser plusieurs).

La solution la plus simple consiste donc à empêcher une même adresse IP de se connecter, par exemple, plus de 3 fois en une minute et mettre cette adresse IP en Blackliste ensuite, l’empêchant de retenter une connexion à l’avenir. L’adresse IP est alors bannie.

C’est ce que fait le plugin Login LockDown que vous pouvez télécharger en cliquant ici ou cliquez sur l’image ci-dessous.

Les réglages

Cliquez sur l’image…

Une fois le plugin installé, les réglages sont assez simples et regroupés sur une seule page. Un avantage non négligeable est que si votre WordPress est en Français alors c’est la version française qui s’affichera. Les valeurs par défaut sont généralement suffisantes, il n’est pas besoin de les modifier.

Le 2ème onglet vous donne l’historique et la liste des adresses IP bloquées.

Le plugin est disponible uniquement n version anglaise, mais nous avons traduit ce plugin.

Vous pouvez vous procurer la version Française de ce plugin en cliquant ici.

Acquérir la version FR

Quid des plugins de sécurité tout-en-un ?

Il existe également des plugins tout-en-un plus élaborés augmentant la sécurité de votre blog, tels que WordFence ou encore Cerber, mais vous devez savoir que chaque plugin ralenti le fonctionnement de votre WordPress. Il existe ces centaines de milliers de plugins. Il faut donc trouver un équilibre entre sécurité et performance de votre site. Le plugin que je viens de vous présenter Lock Down vous protège très efficacement, alors pourquoi chercher autre chose ?

Acquérir la version FR

Laisser un commentaire