Sélectionner une page

Avant de commencer à travailler sur WordPress, il y a quelques choses à faire en urgence.

Rendre le site invisible pour les moteurs de recherche

Votre site va être en construction pendant un moment avant d’être mis en ligne. Vous pouvez choisir de bloquer sa consultation à l’aide d’un plugin comme Coming Soon qui affichera une page “Site en construction”.

Mais il convient surtout de demander aux moteurs de recherche de ne pas indexer (référencer) ce site, du moins tant qu’il n’est pas prêt.

Pour ce faire, rendez-vous dans le menu du backoffice (Menu latéral de gauche, une fois connecté) :

  • Réglages
  • Lecture
  • (cocher la case) “Demander aux moteurs de recherche de ne pas indexer ce site”
Désactiver indexation d’un site WordPress

Mettre en place des sauvegardes régulières, sur un serveur distant

Imaginez. Vous travaillez sur votre site, et là … ça plante complètement. Vous essayez de passer par les fichiers du site pour supprimer « à la bourrin » le dossier du plugin sur lequel vous étiez en train de travailler … ça ne résout rien. Vous commencez à avoir envie d’hurler …

Ça arrive, et le plus souvent en pleine phase de dev ! Justemment.

C’est pour ça qu’il faut dès maintenant s’occuper des sauvegardes automatiques.

Je vous recommande le plugin gratuit updraftplus :

Pendant le développement du site :

  • une sauvegarde des fichiers ET de la base de données
    • toutes les 2 heures
    • garder 48 sauvegardes (soit 4 jours) minimum
  • sur un emplacement distant comme DropBox ou Google DRIVE

Pendant la vie du site (plus tard) :

  • Si vous avez une boutique en ligne ou que, d’une manière ou d’une autre, votre base de données est souvent alimentée : 1 sauvegarde de la base de données tous les jours (plus si grosse boutique)
  • Si ce n’est pas le cas, comme pour un petit site vitrine « simple » : au moins une sauvegarde avant et après chaque fois que vous ajoutez du contenu au site (photos, évènements, articles, …)

La règle la plus importante est : il faut garder des sauvegardes sur au moins 1 mois de plus que ce que garde votre hébergeur.
En effet, lorsqu’un pirate met la main sur votre site, ça se passe souvent comme ça :

  • Il passe par une faille de sécurité (plugin ou thème non mis à jour) pour se créer un accès aux fichiers de l’hébergement
  • il attends 3 mois (si votre hébergeur a une politique de sauvegarde sur 3 mois, en moyenne c’est ce que j’ai constaté)
  • là il change tout votre site pour mettre le sien à la place
  • et vous êtes foutu car vous n’aviez pas pensé à garder des sauvegardes sur 3 mois … et votre hébergeur non plus ! (c’est là le piège).

Sécuriser un minimum

Tout d’abord, installez le plugin gratuit Secupress

Déplacer la page de connexion

Utilisez le module “comptes et connexion” pour déplacer la page de connexion.

Remplacez ainsi /wp-login par ce que vous voulez.

Protégez la connexion par un captcha

Pour ce faire, restez sur cette page, et allez chercher un peu plus bas la section “Utiliser un captcha pour tout le monde” et cochez la case “Oui, utiliser un captcha”, puis sauvegardez.

sécuriser la connexion au backoffice WordPress avec un captcha

Protégez le compte “admin”

Si votre site internet accepte les inscriptions (Réglages > général > “tout le monde peut s’inscrire”), vous devez créer un compte utilisateur ayant pour identifiant “admin” avec le rôle “abonné”.

Une fois créé, revenez modifiez ce profil et sélectionnez le nouveau rôle qui vient d’apparaître : “aucun rôle sur ce site”.

Comment désactiver l’inscription à un site WordPress

Si votre site n’accepte pas les inscriptions (la case n’est pas cochée, donc), vous pouvez passer cette étape. Si le compte existe déjà (il est souvent créé par défaut) alors supprimez-le OU protégez le comme décrit plus haut.

N’oubliez pas de sauvegarder en cliquant, tout en bas de la page, sur le bouton bleu “Enregistrer les nodifications”.

A propos du mot de passe

Au cas où il y ait besoin de le dire, il faut absolument que tous les comptes utilisateurs aient un mot de passe qui respecte quelques critères :

  • la longueur : au moins 12 caractères
  • ne pas être un mot du dictionnaire
  • ne pas comporter votre nom ou votre date de naissance (ou autre donnée facile à trouver)

Et si vous voulez, vous pouvez mettre des caractères spéciaux, des majuscules et des symboles.
C’est mieux, mais pas obligatoire. La longueur c’est vraiment le plus important.

Je vous invite à tester combien de temps votre mot de passe tiendrait face à une attaque de BRUTEFORCE, sur :
https://www.security.org/how-secure-is-my-password/

  • ma date de naissance (05121991) : 2 millisecondes
  • 12 fois la lettre « a » en minuscule (aaaaaaaaaaaa) : 3 semaines
  • idem mais avec le premier « a » en majsucule (Aaaaaaaaaaaa) : 300 ans

C’est bon, vous êtes prêts à travailler sur votre site, l’esprit tranquille.

Pin It on Pinterest