WordPress est le CMS le plus utilisé au monde. C’est aussi l’une des cibles les plus fréquentes des tentatives de piratage automatisées. La bonne nouvelle : quelques mesures simples suffisent à protéger efficacement votre site.
Les trois niveaux de sécurité #
| Niveau | Qui s’en occupe | Ce que ça couvre |
|---|---|---|
| Vos habitudes | Vous | Mot de passe, déconnexion, partage d’accès |
| Plugin de sécurité | Gollab | Protection connexion, blocage IPs, surveillance |
| Sécurité serveur | Hébergeur | Pare-feu, détection d’intrusions, infrastructure |
Solid Security : le plugin installé sur votre site #
Solid Security (anciennement iThemes Security) est le plugin de sécurité installé sur vos sites Gollab. Il gère plusieurs protections en arrière-plan :
- Blocage automatique des IPs suspectes après plusieurs tentatives de connexion échouées
- Masquage de la page de connexion WordPress
- Détection des fichiers modifiés sur le serveur
- Journalisation des connexions et des activités suspectes
Vous n’avez pas à configurer Solid Security. Il tourne en arrière-plan sans intervention de votre part. Si vous recevez des alertes par email de sa part, transmettez-les à Gollab pour analyse.
Ce que vous pouvez faire #
Un mot de passe fort #
C’est la mesure la plus simple et la plus efficace. Un mot de passe fort contient au minimum 12 caractères, avec majuscules, minuscules, chiffres et caractères spéciaux. Consultez notre guide Changer mon mot de passe WordPress pour les bonnes pratiques.
La double authentification (2FA) #
Solid Security propose d’activer la double authentification sur votre compte. À chaque connexion, un code vous est demandé en plus du mot de passe. Même si quelqu’un obtient votre mot de passe, il ne peut pas se connecter sans ce code.
Pour l’activer : allez dans Solid Security > Paramètres > Double authentification et suivez les instructions.
Ne pas partager vos accès #
Si quelqu’un a besoin d’accéder à votre site, créez-lui un compte dédié avec le bon niveau d’accès. Consultez notre guide Ajouter un utilisateur WordPress pour savoir quel rôle attribuer.
Les signaux d’alerte à surveiller #
Un ou plusieurs de ces signes indiquent une possible intrusion sur votre site :
- Des utilisateurs inconnus apparaissent dans votre liste d’utilisateurs
- Votre site affiche du contenu que vous n’avez pas créé
- Google affiche un avertissement de sécurité sur votre site
- Vos visiteurs signalent des redirections vers d’autres sites
Les tentatives de piratage sur WordPress sont en grande majorité automatisées : des robots testent des milliers de combinaisons d’identifiants sur des milliers de sites en même temps. La plupart ne ciblent pas spécifiquement votre site. Une bonne configuration de sécurité les rend imperméables à ces attaques de masse sans effort supplémentaire de votre part.