Voici comment nettoyer wordpress piraté par les hackeurs informatique

  1. Mettre tous vos fichiers hors ligne (les déplacer dans un dossier non accessible depuis le web).
  2. Dans votre interface cPanel, modifiez le mot de passe de votre base de données
  3. Télécharger la dernière version WordPress : https://fr.wordpress.org
  4. Envoyer les fichiers de la dernière version de WordPress sur votre compte FTP
  5. Créer un fichier .htaccess avec le code :
    deny from all
    allow from 1.2.3.4

    (remplacer 1.2.3.4 par votre adresse IP que vous pouvez récupérer sur http://monip.org )

  6. Renommez wp-config-sample.php en wp-config.php
  7. Ouvrez ce fichier avec un éditeur de texte comme Sublime text editor ou notepad++
  8. Renseignez les nouvelles informations de base de donnés et le le prefixe de table que vous avez dans votre base (par défaut wp_ mas il a peut-être été autre chose).
  9. Renseignez de nouveaux salt à l’emplacement prévu avec l’URL indiqué dans le fichier wp-config.php
  10. Prenez la liste des plugins que vous aviez dans la sauvegarde de votre ancien site (dans le dossier wp-content/plugins et téléchargez les dernières versions sur le site de plugins de WordPress, ou des éditeurs.
  11. Envoyez les versions décompressées des plugins dans le nouveau dossier plugins, assurez-vous de ne pas en oublier.
  12. Envoyez dans le dossier wp-content/themes une version propre et à jour de votre thème
  13. Si vous avez un thème enfant, ouvrez chaque fichier pour vérifier qu’il y a pas eu de code ajouté puis restaurez votre dossier de thème enfant.
  14. Demandez à notre support de vérifier pour vous que votre dossier uploads ne contient que des fichiers qui ne sont pas exécutables (pas de PHP ou de cgi, et pas de .htaccess autorisant l’exécution d’un fichier image etc comme script).
  15. Demandez à Monarobase de nettoyer votre dossier uploads et de le restaurer pour vous. Aucun autre fichier ne doit être restauré.
  16. Connectez-vous  à votre interface admin de WordPress
  17. Allez dans la page des plugins et vérifier que vous avez au moins un plugin anti brute force (nous vous conseillons Loginizer qu’il faut installer et activer).
  18. Allez dans la page des thèmes et dans l’interface de votre thème et sauvegardez si vous avez cette option dans les paramètres de votre thème.
  19. Allez dans la gestion des utilisateurs, changer tous les mots de passe des utilisateurs admin et contrôlez leurs adresses e-mail
  20. Allez dans les options Réglages > Permaliens et sauvegardez
  21. Vérifiez que tout le site fonctionne
  22. Enlevez les lignes deny from all et allow from 1.2.3.4 de votre fichier .htaccess

Voici comment renforcer la sécurité de votre site WordPress

WordPress étant l’un des CMS les plus utilisés au monde, il est « tout naturellement » sujet à des attaques massives et fréquentes.
Quand ce n’est pas la plateforme elle-même, ce sont les plugins populaires qui sont touchés (souvenez-vous de Revolution Slider…).
N’attendez pas de vous réveiller un matin face à un site piraté, une page blanche ou un message de votre hébergeur vous annonçant que vous avez dépassé les ressources prévues par votre abonnement suite à une attaque DDoS : renforcez la sécurité de votre site WordPress dès aujourd’hui !
Vous pensez que cela est réservé aux « gros sites » ?
Détrompez-vous : personne n’y échappe.
Bien sûr, être protégé à 100 % est impossible. Mais avec des manipulations préventives, des actions simples et un bon système de protection, vous échapperez déjà à de nombreux problèmes.
Pour vous aider dans vos démarches, j’ai réuni différentes astuces et conseils pour mieux sécuriser WordPress.

Important : Pensez bien à sauvegarder chaque fichier avant d’effectuer la moindre modification.

Faites des mises à jour régulières et immédiates

C’est l’un des conseils les plus indispensables à suivre : mettez à jour WordPress et vos plugins dès que vous en recevez la notification.
Faites des mises à jour régulières et immédiates
Bien entendu, WordPress sera toujours l’une des cibles d’opérations de piratage. Mais dans la mesure où, à chaque fois que des failles de sécurité sont détectées, cela entraîne des mises à jour de WordPress, vous n’avez pas d’excuse pour ne pas (immédiatement) les implémenter.
Une partie de ces mises à jour peut être automatisée, mais ne négligez aucun message lorsque vous vous connectez à votre tableau de bord.
Ces mises à jour sont importantes, car elles vont bien plus loin que l’ajout de nouvelles fonctionnalités : la plupart d’entre elles résolvent des bugs et des failles de sécurité.
Sur ce point d’ailleurs, si vous voyez que des thèmes ou plugins ne fonctionnent pas avec la version la plus récente de WordPress, ne les installez pas ou changez-les très rapidement. Ils sont a priori peu protégés face aux attaques qui peuvent survenir…

Protégez votre page de connexion (wp-login.php)

Cette page est l’une des cibles les plus courantes des hackers, qui cherchent à forcer l’accès à votre tableau de bord par le biais d’une attaque par force brute. Plus concrètement, il s’agit de tester automatiquement toutes les combinaisons de mots possibles, d’où l’intérêt de bien choisir ses mots de passe.
Pour réduire les risques que cela arrive, vous pouvez bloquer l’accès à wp-login.php ou limiter le nombre de tentatives de connexion.
Si quelqu’un s’acharne à essayer d’entrer dans votre tableau de bord, n’aimeriez-vous pas pouvoir l’empêcher d’agir après plusieurs connexions ratées ?
Le plugin WordPress « Login Lockdown » le permet. Vous pouvez le télécharger ici, ou considérer une alternative comme WordFence, qui comprend beaucoup d’autres fonctionnalités de sécurité.

N’utilisez pas « admin » comme nom d’utilisateur

WordPress l’a longtemps attribué par défaut, ce qui en fait une cible très courante pour les hackers.
Aujourd’hui, lors d’une nouvelle installation, il est désormais possible de configurer immédiatement un autre nom d’utilisateur.
Néanmoins, si vous êtes depuis quelques temps sur le Web, vous avez installé WordPress avant cette option. C’est le moment de trouver un nouveau nom et de supprimer « admin » !
A noter qu’il n’y a pas de risques de perte de contenu, WordPress vous demandant à quel utilisateur attribuer le contenu publié jusque-là par « admin ».

Choisissez des mots de passe complexes

Oui, c’est vrai : si vous travaillez beaucoup en ligne, vous passez une partie de votre temps à réinitialiser des mots de passe oubliés ou à multiplier les déclinaisons autour d’une même base.
Vous le savez probablement déjà :

  • Vos mots de passe doivent être complexes et intégrer des majuscules, des minuscules, des chiffres et autres caractères spéciaux (du type « COmplEXes%101 »)
  • Ils doivent être variés : n’utilisez pas plusieurs fois le même mot de passe pour différents services
  • Ils doivent être changés régulièrement
  • Vous devez éviter votre date de naissance ou des mots du dictionnaire…

Mais le faites-vous vraiment ?
N’optez pas pour la facilité. Si vous n’utilisez pas un mot de passe long et complexe, vous compromettez sérieusement la sécurité de votre installation WordPress.
Pour vous aider à générer un mot de passe de qualité, vous pouvez utiliser le site www.strongpasswordgenerator.com.
Enfin, si vous avez des employés ou collaborateurs qui accèdent à votre tableau de bord, soyez intransigeant sur la qualité de leurs mots de passe.

Protégez votre fichier .htaccess

Vous pouvez modifier votre fichier .htaccess depuis votre client FTP (Filezilla par exemple), ou avec le plugin WordPress SEO By Yoast.
Afin de renforcer la sécurité de ce fichier WordPress (en empêchant son accès extérieur), vous pouvez ajouter les lignes de code suivantes :

<Files .htaccess>
order allow,deny
deny from all
</Files>

C’est depuis ce même fichier (et sur la même base) que vous pouvez en fait protéger n’importe quel dossier de votre installation, à l’exemple de wp-config (qui contient vos données de connexion):

<Files wp-config.php>
order allow,deny
deny from all
</Files>

Sécurisez wp-includes

Toujours dans votre fichier .htaccess, ajoutez ces quelques lignes extraites du Codex WordPress :

# Block the include-only files.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>
# BEGIN WordPress

Masquez votre version de WordPress

Même si cette manipulation n’empêche pas les attaques, vous augmentez la sécurité de votre installation WordPress, en empêchant de pouvoir très facilement identifier la version WordPress utilisée.
Pour cela, ouvrez votre fichier functions.php et ajoutez-y une fonction :

function masquer_version() {
return '';
}
add_filter('the_generator', 'masquer_version');

Elle vous permettra de masquer la version de votre WordPress à différents endroits de votre site, et pas seulement au niveau du header.

Empêchez les internautes d’accéder à votre répertoire de fichiers

Lorsque vous ajoutez /wp-content/uploads (ou autre) à l’URL d’un site WordPress non protégé, voici ce à quoi vous pouvez avoir accès :
Empêchez les internautes d’accéder à votre répertoire de fichiers
Pour éviter que des personnes ne parcourent vos dossiers de la même manière, ajoutez ces lignes à votre fichier .htaccess :

# Disable directory browsing
Options All -Indexes

Utilisez les bonnes permissions pour vos dossiers et fichiers pour mieux sécuriser WordPress

Il est important de bien configurer vos « files permissions », que vous avez peut-être déjà croisées : 755, 644, 600…
Ces nombres déterminent les droits liés aux différentes composantes de votre site : écrire, lire, exécuter… et surtout, qui peut le faire.
Pour sécuriser WordPress au maximum, vous devez en éviter certaines et leur en préférer d’autres.
Par exemple, un répertoire de fichiers avec une permission de 777 risque de permettre à des tiers de modifier votre site ou d’y injecter leurs propres fichiers.
D’après WordPress, vous devriez par exemple privilégier les permissions suivantes :

  • 755 pour un dossier
  • 644 pour un fichier
  • 400 pour wp-config.php

Vous pouvez changer les permissions depuis votre client FTP (Clic droit > File Permissions) ou dans votre manager de fichiers, selon votre type d’hébergement.

Limitez le hotlinking de vos images

Vous ne vous en êtes peut-être jamais aperçu, mais de nombreux sites se font non seulement voler leurs images, mais aussi une partie de leur bande passante.
Cette pratique a un nom : le hotlinking. Concrètement, un site diffuse votre contenu tout en continuant à l’héberger chez vous et généralement sans vous créditer.
Pour limiter les dégâts, vous pouvez ajouter ces lignes à .htaccess :

# Empêche le hotlinking image. Remplacez les URLs avec les vôtres
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?votresite.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?votreautresite.com [NC]
RewriteRule .(jpg|jpeg|png|gif)$ http://i.imgur.com/MlQAH71.jpg [NC,R,L]

La dernière ligne renvoie l’image que vous voulez faire afficher en cas de tentative de hotlinking. Que pensez-vous de celle-ci ?

Protégez le fichier .htaccess lui-même

Pour cela, ajoutez-lui les lignes suivantes. Ce code apporte une protection plus forte que le code présenté plus haut, car il empêche l’accès à tout fichier contenant “HTA”, “hta” ou n’importe quelle combinaison de casse de ceux-ci (l’autre code protégeant uniquement l’accès à la combinaison “htaccess”) :

# protège htaccess
<Files ~ "^.*.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</Files>

Changez le préfixe de votre base de données WordPress

Votre base de données est indispensable à votre site WordPress. Le problème est que c’est l’une des cibles favorites des hackers, qui tentent notamment d’y effectuer des injections SQL.
Prévenir une attaque dans son intégralité est difficile. Mais vous pouvez leur compliquer la tâche en modifiant le préfixe par défaut (wp_).
N’hésitez pas à visionner cette vidéo pour bien comprendre la marche à suivre :

Si vous êtes déjà à l’aise avec les manipulations qui touchent à votre base de données, rendez-vous directement dans PhpMyAdmin !

Scannez régulièrement votre site ou investissez dans une solution complète de nettoyage

Si certaines attaques se voient immédiatement, d’autres sont plus insidieuses. Heureusement, des solutions existent pour surveiller votre site, afin de détecter d’éventuelles intrusions ou anomalies.
La plupart ne se contentent pas de scanner votre site, mais aussi de le sauvegarder régulièrement (voire quotidiennement) et de nettoyer votre installation WordPress en cas de souci.

  • CodeGuard

CodeGuard est une bonne solution pour sauvegarder automatiquement votre site WordPress et le restaurer en quelques clics si un problème survient (pas nécessairement suite à une attaque, d’ailleurs).
En cas d’anomalie, vous êtes immédiatement alerté.
CodeGuard
Site Internet – A partir de 3 $ / mois, selon l’offre choisie et la durée d’engagement

  • Sucuri

Sucuri est l’un des leaders dans le domaine de la sécurité WordPress. En plus de son scan gratuit (que vous pouvez tester à cette adresse), il permet de surveiller et nettoyer votre installation.
Sucuri
Site Internet – A partir de 199 $ / an

  • Theme Authenticity Checker (TAC)

Theme Authenticity Checker scanne votre installation pour voir si votre thème abrite des lignes de code malicieux qui ne devraient pas être là. Il n’est pas là pour résoudre le problème, mais vous révèle l’emplacement exact de l’anomalie. Et si WordPress incluait un jour cette fonction ?
Theme Authenticity Checker (TAC)
Page du plugin
Vous pouvez aussi regarder du côté de VaultPress, l’un des experts en sécurité WordPress.
Enfin, le plugin Block Bad Queries vous aidera à lutter contre les requêtes mal intentionnées lancées contre votre site.

Utilisez une connexion SFTP (plutôt que FTP)

Lorsque vous vous connectez à votre serveur, privilégiez le protocole SFTP (Secure File Transfer Protocol), qui est la même chose que FTP, mais en plus sécurisé.
Si vous avez un doute, demandez à votre hébergeur de vous renseigner.

Empêchez des utilisateurs fictifs de spammer votre site de membres

Si vous avez installé BBPress ou BuddyPress, vous ne connaissez que trop bien le problème des inscriptions « spam » d’utilisateurs aux pseudos douteux.
Il n’existe pas de solution miracle, mais vous pouvez vous tourner vers les plugins WangGuard ou Stop Spammers Spam Prevention.
 

Sauvegardez régulièrement votre site

Bien sûr, ce point ne renforcera pas la sécurité de votre site WordPress en tant que telle, mais au-delà d’éviter des pertes de données, vous pourrez rapidement réagir en réinstallant un site propre après un piratage.
Parmi les solutions robustes à votre disposition, vous pouvez utiliser UpdraftPlus, VaultPress, BackUpBuddy ou encore WordPress Backup to Dropbox.

Pour finir…

Avec cette première liste de techniques, vous devriez déjà pouvoir considérablement renforcer la sécurité de votre installation WordPress.
Vous avez des questions, remarques, solutions ou autres astuces à partager pour mieux sécuriser WordPress ? Laissez un commentaire dès maintenant !
Crédit photo : David Goehring

COMMENT SÉCURISER SON SITE WORDPRESS EN QUELQUES CLICS ?

Le CMS (Système de Gestion de Contenu) WordPress a été lancé en 2003, plus de 20% des sites utilisent ce logiciel. En France, plus de 80% des blogs français seraient sur WordPress, il s’agit du CMS le plus populaire au monde.
Cette popularité attire malheureusement les pirates informatiques qui profitent de la moindre faille pour avoir une totale emprise sur votre blog. En mars dernier, en raison d’une faille sur le plug-in Yoast WordPress SEO plus d’un million de sites WordPress étaient exposés à des attaques par injection SQL. Voici donc quelques étapes pour vous aider à sécuriser votre site WordPress contre les différentes attaques.

Les types de piratage possibles sur votre site WordPress

La redirection de votre nom de domaine

Il peut arriver que lorsque vous souhaitez accéder à votre site web vous atterrissez sur un autre site qui n’a rien à voir avec le vôtre. Il s’agit là d’une redirection de votre nom de domaine vers le site du pirate informatique.

La redirection des URL de votre site web

Les pirates peuvent également changer le fichier htaccess de votre site ce qui leurs permet d’effectuer une redirection de certaines de vos URL vers les leurs.

Javascript et Iframe

Il est également possible que les pirates modifient le code de vos pages en cachant au sein de celui-ci des iframes pour afficher un site malveillant. Il peuvent aussi rediriger vos visiteurs vers un site malveillant en modifiant le code en javascript.

La perte ou la suppression des données de votre site WordPress

L’un des scénarios catastrophe est la suppression de votre site web. Les pirates prennent alors le contrôle de votre base de données et suppriment tout ! Si vous n’avez pas effectué de sauvegarde de l’intégralité de votre site (base de données, articles, thème, pages etc.) impossible de récupérer votre site… Pour éviter ceci nous vous conseillons de suivre les étapes ci-dessous.
 

Comment sécuriser mon site WordPress en quelques étapes ?

Sauvegardez votre site WordPress

La première chose à faire est de sauvegarder régulièrement votre site afin de vous prémunir contre la perte de données. Suivez nos étapes pour sauvegarder votre site web depuis le panel utilisateur LWS

Mettez à jours vos extensions

Une bonne partie des sites qui se font hacker n’ont pas effectué de mises à jour régulières. Il faut savoir que chaque mise à jour WordPress que vous effectuez apporte des améliorations en termes de sécurité et il en va de même pour vos plugins.
Avec les formules d’hébergement WordPress LWS vous avez toujours accès aux dernières versions du logiciel disponible en installation en 1 clic.

Utilisez des mots de passes sécurisésImage de hack

Comme vous le savez sans doute déjà il est fortement déconseillé d’utiliser un mot de passe faisant référence à votre vie privée (date d’anniversaire, prénom de vos proches, numéro de département…). Il est également important d’utiliser un mot de passe unique pour vos différents comptes.
Pour un mot de passe sécurisé celui-ci doit être constitué d’au minimum 8 caractères composé de chiffres et lettres minuscules et majuscules.

Créez un nouveau compte Admin

WordPress vous propose par défaut de créer un compte intitulé « Admin » lors de l’installation. Si vous ne changez pas cet identifiant commun vous facilitez la tâche au hacker car celui-ci n’a plus qu’à trouver votre mot de passe…

Modifiez le préfixe « wp_ »

Le préfixe attribué par défaut à votre base MySQL lorsque vous installez un site WordPress est « wp_ ». Ce préfixe peut être vulnérable en cas d’injection SQL. Pour changer le préfixe vous pouvez utiliser le plugin WP Security Scan.

Bloquez les attaques de type « brute force »

Afin de bloquer les attaques « brute force » nous vous conseillons le plugin Limit Login Attempts qui permet de restreindre le nombre de tentatives d’accès à votre site web et de réserver l’accès seulement à certaines adresses IP.
Le plugin Ultimate Security Checker vous permet de faire une analyse des améliorations à effectuer en termes de sécurité sur votre site WordPress.

Protégez l’accès au wp-config.php via .htaccess

Afin d’empêcher le hacker de récupérer votre identifiant et mot de passe nous vous conseillons d’ajouter la ligne suivante à votre fichier .htaccess (situé à la racine de votre serveur FTP) :
sécurité-WordPress

Masquez la version de votre site WordPress

Un hacker pourra facilement identifier les failles de votre version WordPress, d’où l’intérêt de mettre à jour régulièrement votre logiciel. Pour masquer le numéro de version de votre site WordPress suivez les procédures suivantes :
Ouvrez votre fichier functions.php à partir du menu « Apparence » puis sélectionnez « Editeur »
Ajoutez ce code :
sécurité-WordPress
Ouvrez ensuite votre site WordPress sur un navigateur puis vérifiez le code source de la page.
Si une ligne de code ressemblant à celle-ci : sécurité-WordPress3
apparaît ouvrez le fichier header.php de votre thème puis supprimez la ligne suivante :
Sécurité-WordPress
Sauvegardez le fichier puis actualisez.
Il est également important de supprimer le fichier readme.html car celui-ci affiche le numéro de version de votre site WordPress (ce fichier se trouve à la racine de votre site).

Profitez d’un hébergement web fiable avec nos formules d’hébergement WordPress 3VISION-GROUP !

COMMENT PROTÉGER SON CMS WORDPRESS, JOOMLA et DRUPAL CONTRE LE PIRATAGE ?

Développer la sécurité d’un site web est semblable à une relation Yin-Yang. Plus les pirates tentent d’avoir accès, plus la sécurité se renforce. Plus la sécurité est renforcée, plus les pirates tentent d’accéder. C’est un processus continu où une entité essaie constamment de surpasser l’autre.
Où se situe votre site en terme de sécurité ? Il est difficile d’estimer quel est son niveau de sécurité, mais vous pouvez faire de votre mieux pour le sécuriser autant que possible. En raison de la nature de la plupart des CMS populaires, les pirates arrivent souvent à déjouer les systèmes de sécurité mis en place. Toutefois, les organisations qui développent les CMS tels que WordPress, Joomla et Drupal travaillent constamment à corriger ces failles.
Voici les points clés pour protéger au maximum vos sites réalisés avec ces CMS.

Supprimer l’interface de connexion en page d’accueil

De nombreuses attaques sur les sites CMS sont causées via l’interface de connexion. Par défaut, la plupart des systèmes placent cette méthode de connexion sur la page d’accueil. Bien qu’il puisse être utile pour vos utilisateurs, cet élément peut être une cible pour les pirates et les robots.
La plupart des outils CMS vous donnent la possibilité de supprimer cette connexion avec une simple case à cocher. WordPress et Joomla vous offrent la possibilité de retirer la fenêtre de connexion à partir des outils du système.
Que faire si vous avez des auteurs qui ont besoin de cette fenêtre de connexion pour votre site web ? Il est beaucoup plus sûr de leur proposer de se connecter au système via l’admin back-end que dès la première page. Des systèmes tels que WordPress sont parfaits pour faire en sorte de gérer les droits de vos utilisateurs.

Verrouiller la connexion à l’adminbrute-force

Certains systèmes de gestion de contenu ont des plugins disponibles qui aident à protéger la page de connexion admin. Par exemple, vous pouvez installer un plugin qui va verrouiller la page
d’administration si quelqu’un essaie à plusieurs reprises de renseigner un mot de passe erroné à partir d’une adresse IP spécifique. Cela rend beaucoup plus difficile pour un pirate de lancer une attaque brute-force comme il ou elle doit changer en permanence son adresse IP après de multiples tentatives.
Nous vous conseillons de télécharger le plugin WordPress Login LockDown pour sécuriser les accès sur votre site.

Ne pas utiliser « admin » par défaut

Le nom d’utilisateur par défaut « admin » est l’un des plus courants. Lorsque vous installez un nouveau système, nous vous conseillons fortement de créer un nouvel ID unique pour le contrôle administratif.
Certains propriétaires de site vont jusqu’à supprimer le nom « admin » par défaut après la création d’un nouveau nom d’utilisateur afin d’éliminer les risques d’attaque.

Cacher le dossier WP-Includes

Savez-vous que le dossier « / wp-includes » est accessible au public dans de nombreux cas d’installations WordPress ? Cela montre l’ensemble des plugins de votre version WordPress. Il peut également montrer les failles que les pirates peuvent utiliser pour attaquer votre site. Le moyen facile de masquer ces informations est d’ajouter un fichier « index.html » vide dans votre dossier « / wp-includes ». Cela permet aux navigateurs de charger l’index automatiquement tout en cachant les fichiers et dossiers qui se trouvent dans ce répertoire. Pour ce faire il suffit de créer une nouvelle page dans le Bloc-notes, l’enregistrer comme « index.html » et la transférer dans le dossier « / wp-includes ».

Plugins, thèmes et autres add-ons

Plugins, modules et thèmes font tous partie des caractéristiques du CMS. Ce sont des outils qui vont vous configurer-wordpresspermettre de personnaliser votre site au maximum. Les thèmes sont utilisés pour modifier l’apparence générale de votre site. Cependant, ces différents éléments peuvent également inclure un codage malveillant qui peut être une porte d’entrée aux pirates.
Bien que les organisations qui régissent ces divers systèmes de gestion font de leur mieux pour éliminer ces modules non sécurisés, il peut arriver que vous tombiez sur un module corrompu. Il est toujours préférable de rechercher le développeur et un maximum d’informations sur le module avant de l’installer.

Se protéger contre les commentaires spams

Les systèmes donnant la possibilité de laisser des commentaires sur votre site sont souvent la cible de hackers ou robots. Nous vous conseillons donc d’utiliser un plugin spécifique pour renforcer la sécurité de ce système. Par exemple, les plugins tels que Livefyre ou Disqus sur WordPress ajoutent une protection supplémentaire contre le spam, car ceux qui laissent des commentaires doivent se créer un compte. Les formes les plus avancées de captcha peuvent être également utiles contre les robots.

Analyser régulièrement ses fichiers systèmes

C’est toujours une bonne idée d’exécuter des analyses de routine des fichiers systèmes dans une application CMS. Bien que votre fournisseur d’hébergement peut avoir son propre logiciel de sécurité, vous pouvez la renforcer en utilisant votre propre système. Cela pourrait aider à éliminer les menaces laissées par les logiciels malveillants, ce qui réduit le risque d’être piraté. Certains systèmes de gestion de contenu ont des plugins disponibles qui gardent votre site Web à l’abri de telles attaques.

Garder son site à jour

Sauf si vous utilisez un CMS qui date et n’assure plus des mises à jour régulières, vous devez toujours garder votre système à jour. Avec WordPress et Joomla vous pouvez effectuer vos mises à jour automatiquement en 1 clic depuis l’interface d’administration. Ces mises à jour sont vitales pour la sécurité du site et contribuent à prévenir les piratages. Les développeurs de ces CMS vont apporter des corrections et des réparations au niveau du code pour éliminer les failles découvertes.
A lire : Comment sécuriser son site WordPress en quelques clics ?
Même les petits sites qui n’ont que 20 visiteurs par mois peuvent être ciblés par les pirates et utilisés à des fins malveillantes. Ne pensez pas que votre site n’est pas assez important pour être protégé. Il pourrait être utilisé pour envoyer du spam, voler des informations personnelles et bien plus encore.
Vous devez donc prendre toutes les mesures possibles pour vous assurer que votre site dispose d’une protection optimale.

LES 9 MEILLEURS PLUGINS WORDPRESS POUR VOTRE REFERENCEMENT GOOGLE ET SEO

Si vous voulez avoir du trafic sur votre site internet, l’optimisation de vos posts pour les moteurs de recherche est essentielle. Les plugins SEO disponibles sur WordPress peuvent vraiment vous aider à simplifier et accélérer ce processus. Cependant, avec la myriade de modules SEO disponibles, il n’est pas évident de s’y retrouver et de choisir le meilleur. 

Dans cet article, nous allons partager les 9 meilleurs plugins WordPress pour optimiser vos posts en vue du référencement et développer votre trafic.

Yoast SEO

Yoast SEO est actuellement le plugin SEO le plus complet existant.

Il vous permet d’ajouter un titre SEO, une méta-description et des mots-clés à tous vos posts et pages.

Ainsi, vous pouvez également optimiser vos pages, vos archives, vos catégories, vos titres d’images, vos moustiquaires, vos sitemaps XML et bien plus encore. La liste complète de toutes les fonctionnalités est extrêmement longue.

Coût : Des versions gratuites et Premium sont disponibles. Une licence est disponible au prix de 50 euros environ l’année.

All in One SEO Pack

All in One SEO Pack est un module SEO complet et le plus téléchargé en extension avec plus de 30 millions de téléchargements.

En effet, ce plugin comprend le support Google Analytics, le support sitemap XML, les URL canoniques avancées, l’optimisation automatique des titres postés, la génération automatique de balises META. Enfin, il informe automatiquement les moteurs de recherche des modifications apportées à votre site.

Coût : Versions gratuites et pro disponibles. La version pro commence à 30 euros par année.

Google XML Sitemaps

Google XML Sitemaps existe depuis plus de 9 ans et a été classé comme le meilleur plugin WordPress. Il génère un sitemap XML spécial qui aide les moteurs de recherche à analyser et indexer votre blog. Un sitemap facilite la visualisation de la structure de votre site.

Ce module notifie automatiquement à tous les principaux moteurs de recherche, chaque création de posts ou modifications apportées à votre site.

Le module est gratuit.

WP Super Cache

WP Super Cache est un moteur de mise en cache rapide qui transforme votre contenu de blog dynamique en fichier html statiques. Cela accélère considérablement votre site et améliore votre classement sur les moteurs de recherche.

Ce module a été fortement testé dans des conditions réelles, il est apprécié par plus d’un million d’utilisateurs

Le module est gratuit.

Broken Link Checker

Broken Link Checker surveille les messages de votre blog et le contenu de votre site internet à la recherche de liens brisés et en vous avisant s’il en existe un. Fixer les liens brisés est important pour le SEO.

Ce module a la possibilité de vous avertir par le biais du tableau de bord WordPress ou par email. Vous pouvez également choisir d’empêcher automatiquement les moteurs de recherche de suivre les liens brisés.

Le module est gratuit.

Rel Nofollow Checkbox

Rel Nofollow Checkbox ajoute une case à cocher sur la boite de dialogue « Insérer/modifier le lien », vous permettant d’ajouter rapidement et facilement la balise nofollow à vos liens. Ceci est important pour contrôler le crédit que vous souhaitez accorder à une page par rapport à une autre.

Envira Gallery

La galerie Envra aide vos images et galeries de photos à se classer dans les moteurs de recherche.

Avec son addon Deeplinking, vous pouvez créer des URL dédiées et conviviales pour toutes les images se trouvant dans vos galeries de photos. Il vous sera possible de créer des URL uniques pour chacune de vos galeries, de façon à ce qu’ils ne soient pas liés à un blog spécifique, ce qui permettra aux moteurs de recherche, de les indexer séparément.

Coût : Licences gratuite et Premium disponibles. Les licences Premium commencent à 15 euros.

Redirection

Redirection vous permet de gérer les redirections d’URL et de garder une trace des erreurs 404. Cela est nécessaire lorsque vous migrez votre site internet vers un nouvel hébergeur ou si vous modifiez le répertoire d’installation de votre WordPress.

Ce module vous permet de créer des redirections 301 (déplacement permanent), ce qui est vivement recommandé pour le référencement de votre site.

Le module est gratuit.

All in One Schema.org Rich Snippets

All in One Schema.org Rich Snippets améliore votre SEO en créant un bref résumé de votre page dans les résultats de recherche. Cela donne aux moteurs de recherche les informations importantes qui doivent être affichées

Ce module comprend des éléments interactifs comme des photos, des étoiles, le prix de l’auteur afin de vous démarquer de la concurrence dans les résultats.

Le module est gratuit.

En conclusion

Le référencement peut sembler compliqué, mais en utilisant les bons modules, cela devient facile. Choisissez l’un des modules ci-dessus et devenez un professionnel du référencement

3Vision-Group vous aide à tirer le meilleur des réseaux sociaux.

A l’heure où les réseaux sociaux et autres plateformes de promotion font la loi et riment chaque jour avec notre quotidien, et où l’e-commerce prend peu à peu la place du commerce traditionnel, entreprises, startups et particuliers se servent de leur influence pour atteindre leurs objectifs de publicité et pour accroitre leur chiffre d’affaires.
Il est aujourd’hui très facile à n’importe qui de créer une page sur Facebook, un compte sur twitter ou sur n’importe quel autre réseau social ou une plateforme d’e-commerce. Mais il n’est pas d’autant plus facile de bien les gérer, de les dynamiser et de les customiser afin de fédérer une communauté autour de ses produits et services. Il ne s’agit pas simplement de mettre en place une plateforme ou de lancer une campagne sur les réseaux sociaux. Il s’agit avant tout de stratégie et de discipline.
Vous ne parviendrez à atteindre des objectifs potables que si vous confiez cette partie à un professionnel. L’industrie du web, 3Vision-Group, vous propose des services de sponsoring et de promotion sur les réseaux sociaux. Le tout avec des méthodes classiques et à de petits tarifs.
Vous voulez plus de mentions « j’aime » sur Facebook, plus de followers sur Twitter et sur Instagram ou plus de « vues » sur Youtube (…) ou une augmentation de votre chiffre d’affaire, faites confiance à 3Vision-Group.
Notre slogan se résume à deux mots: Satisfaction ou remboursement.
Découvrir les offres détaillées ici

Comment mettre des emojis dans le nom de votre réseau wifi (SSID) ? LIVEBOX OU ROUTEUR

J’étais en train de jouer avec des emojis quand je me suis dit que ce serait cool d’en avoir dans le nom de mon réseau Wifi. J’ai une Livebox, donc je me suis tout simplement connecté à l’admin web de celle-ci et je suis allé dans les options Wifi pour changer le nom du SSID.
Naïvement, j’ai copié un émoji (un petit volcan) à partir de cette liste et je l’ai collé dans le champ prévu à cet effet et j’ai cliqué sur le bouton « Enregistrer ».
Et là, paf message d’erreur me disant que le SSID est invalide.

Merde, la Livebox n’aime pas les emojis. Pas cool.
Mais vous me connaissez, je ne suis pas du genre à baisser les bras. J’ai donc commencé à regarder les javascripts de la page de la Livebox, en tentant de contourner quelques IF mais malheureusement, je ne suis pas arrivé à mes fins avec cette méthode.
Alors plutôt que de perdre du temps, je suis passé en mode bourrin. J’ai installé Fiddler sous Windows (sous Mac, je n’arrive pas à l’installer… bien qu’installée, la commande « mono » ne veut pas apparaitre… Pas creusé encore.) et j’ai commencé à analyser le trafic de la page. Pour ceux qui ne connaitraient pas, Fiddler est un proxy pour debugger du web. Donc voir les requêtes qui passent et les modifier.
Pour repérer la requête POST à modifier, j’ai changé le SSID (avec un nom tout simple qui fonctionne), et j’ai localisé la ligne correspondante dans Fiddler. La capture est un peu petite, donc je vous mets la ligne :

POST /sysbus/NeMo/Intf/wl0:setWLANConfig HTTP/1.1


Vous verrez le contenu de la requête POST en cliquant sur l’onglet RAW. Si c’est bon pour vous, pour l’éditer, faites un clic droit sur la ligne correspondante et cliquez sur »Unlock for Editing »

Et voilà, maintenant vous avez la main sur le contenu et vous pouvez le modifier. Vous verrez que, peut-être, le nom du SSID est présent 2 fois. C’est parce que vous avez 2 réseaux… Le premier c’est celui en 5 Ghz et le second c’est celui en 2,4 Ghz. Sur certains appareils plus anciens qui utilisent uniquement du 2,4 Ghz, il est possible de rencontrer des soucis de connexion, vous pouvez donc mettre des emojis uniquement dans le premier SSID et mettre un nom normal au second SSID comme ceci :

Ensuite, une fois que vous avez modifié le nom des SSID, y’a plus qu’à appuyer sur le bouton REPLAY de Fiddler pour rejouer le POST modifié.

Et voilà !!! Comme vous pouvez le voir dans mon interface Livebox, le nom est bien changé avec de jolis petits volcans.

Et tadaaaaaa !

Alors, elle n’est pas belle la vie ?
Bon, c’est totalement bourrin, mais ça fonctionne et ça devrait aussi passer sur d’autres types de box comme les Bbox de Bouygues, Freebox ou les Box SFR si elles ne supportent pas les emojis (je n’ai pas testé).

Les avantages du HTTPS pour votre site web

Il est important de veiller à la sécurité de votre site Internet et des informations qui y circulent, l’utilisation d’un protocole comme HTTPS en fait partie. Il assure la protection de vos données et celles de vos clients en sécurisant vos échanges. Comme pour tout changement qui affecte votre adresse web, sa mise en place nécessite des redirections de liens afin de ne pas impacter négativement sur votre référencement.

Pourquoi utiliser le HTTPS pour votre site Internet ?

Votre site Internet peut contenir des informations sensibles, lesquelles pourraient être utilisées à mauvais escient, comme des coordonnées bancaires pour un site de vente en ligne. Dans ce cas, le protocole HTTPS est incontournable. Il vous permettra de :
login-utilisateur-securite

  • sécuriser la connexion de votre client à votre site,
  • éviter toute usurpation d’identité.

En effet, lors de vos échanges sur Internet, rien ne vous garantit que les informations qui circulent ne seront pas modifiées par une personne ou un groupe mal intentionné. Ces derniers pourraient, en interceptant les données :

  • collecter des informations – ils pourraient avoir accès aux données de votre client,
  • modifier des informations – ils pourraient ainsi se faire passer pour vous.

En conservant le protocole HTTP, vous vous exposez à ces risques. Le HTTPS, lui, assure la protection des données des utilisateurs. De fait, cela peut renforcer la confiance de vos clients en vous et en votre site Internet.

Qu’est-ce que le HTTPS ?

Le HTTPS est un protocole de communication, c’est-à-dire un ensemble de règles régissant vos échanges, combinant le HTTP avec un protocole de sécurité, comme SSL. Il assure à la fois :

  • La confidentialité des données, les informations ne pourront pas être observées par un tiers,
  • L’intégrité des données, les informations ne pourront pas être modifiées par un tiers,
  • L’authentification de votre organisme, garantissant ainsi que vous êtes bien l’auteur de l’échange.

Pour utiliser le protocole HTTPS sur votre site Internet, vous devez vous procurer un certificat numérique, qui permettra de vous identifier. Il doit être délivré par une autorité de certification, et donc par un organisme reconnu. Il est conseillé de choisir un certificat payant et de vérifier la fiabilité du fournisseur.
Sa bonne mise en place est directement visible depuis un navigateur :

La différence entre HTTP & HTTPS

Il y a de nombreux critères qui différencient HTTP de HTTPS, voici les 3 principaux:

  1. Le schéma d’URL : Les URLs HTTPS commencent par « https: // » et utilise le port 443 par défaut, tandis que les URLs HTTP commencent par « http: // » et utilisent le port 80.
  2. La sécurité : HTTP n’est pas sécurisé et est soumis à de nombreuses attaques, qui peuvent laisser des attaquants avoir accès à des informations sensibles, en revanche un site Web tout en HTTPS est conçu pour résister et protéger contre de telles attaques.
  3. Les couches réseau : HTTP fonctionne sur la couche la plus élevée du modèle TCP/IP qui est la couche application.  Le protocole sécurisé SSL lui fonctionne comme une sous-couche inférieure du même modèle TCP/IP, mais il crypte le message HTTP avant sa transmission et la déchiffre à l’arrivée. On peut donc dire que HTTPS n’est pas un protocole séparé, mais se réfère à l’utilisation du HTTP ordinaire via une connexion SSL cryptée.

http-vs-https

Pourquoi utiliser le HTTPS ?

En préambule, le HTTPS est particulièrement utile sur les réseaux non cryptés (tel que le réseau Wi-Fi), ou n’importe qui sur le même réseau local peut « renifler » via packet sniff les données et accéder des informations sensibles.
Lorsque vous servez  du contenu depuis votre site via HTTPS, vous avez la garantie que personne ne va changer la façon dont les informations sont reçues par les utilisateurs. Si vous faites du business en ligne, vous aurez besoin du SSL. C’est la meilleure façon de protéger les données de vos utilisateurs et de vous défendre contre l’usurpation d’identité.
De plus en plus d’internautes refusent d’effectuer des transactions sur un site qui ne dispose pas d’un certificat SSL. Au final, afficher son certificat SSL sur le site indique aux clients qu’ils peuvent faire leurs achats et utiliser votre site Web en toute confiance et qu’ils seront protégés.
https-certificat-digitaweb

Quel impact sur votre référencement ?

Si vous avez déjà un site Internet sous HTTP et que vous voulez passer à HTTPS, cette modification équivaut à un changement de nom de domaine. Pour ne pas pénaliser votre référencement, il est donc capital de bien préparer la transition. Il vous faudra notamment :

referencement-site

  • mettre à jour votre adresse là où votre site est enregistré (par exemple, dans vos services associés comme Google Analytics, Webmaster Tools),
  • faire un audit des liens externes dirigeant vers votre site afin de mettre en place des redirections 301 vers vos pages,
  • prendre en compte son impact sur votre stratégie social media – là encore vos partages sur les réseaux sociaux nécessiteront des redirections,
  • lister les liens internes nécessitant une modification, afin de conserver un maillage efficace entre vos pages.

De plus, Google a annoncé vouloir en faire un critère de référencement à l’image du mobile-friendly dès 2014. Bien qu’il n’y ait pas de réel impact dans les résultats des recherches aujourd’hui – cela affecterait 1% des sites répertoriés -, la situation pourrait évoluer prochainement, la sécurité étant « une priorité » pour la multinationale.

 

LET’S ENCRYPT : 3Vision-Group (3VG) INTÈGRE LES CERTIFICATS SSL GRATUITS À SES OFFRES D’HÉBERGEMENT WEB

L’intégration des certificats Let’s Encrypt dans les offres d’hébergement web 3VG faisait partie des projets 2017, nous vous annonçons donc officiellement que l’installation de certificats SSL gratuits Let’s Encrypt de façon automatique est désormais possible sur toutes les offres d’hébergement web Linux LWS incluant la fonctionnalité SSL. CONNAITRE LES AVANTAGES DE HTTPS QUE NOUS EXPLIQUÉS ICI
 
 

Définitions SSL & HTTPS

Commençons tout d’abord par quelques définitions et rappels :
SSL : Secure Sockets Layer est un protocole de sécurisation des échanges sur Internet, développé à l’origine par Netscape. C’est le standard technologique de sécurité pour établir un lien crypté entre un serveur web et un navigateur. Ce lien garantit que toutes les données échangées entre le serveur web et les navigateurs restent privées et inviolables pour empêcher l’espionnage et la falsification.
HTTPS : HyperText Transfer Protocol Secure, littéralement « protocole de transfert hypertexte sécurisé » est la combinaison du HTTP avec une couche de chiffrement SSL ou TLS. Le HTTPS permet au visiteur de vérifier l’identité du site web auquel il accède, grâce à un certificat d’authentification émis par une autorité tierce, réputée fiable. Il garantit théoriquement la confidentialité et l’intégrité des données envoyées par l’utilisateur (notamment les informations entrées dans les formulaires) et reçues du serveur. Il permet de valider l’identité du visiteur, si celui-ci utilise également un certificat d’authentification client.
 
En résumé, le SSL est la norme qui définit comment seront cryptées les connexions via HTTPS !
 

La différence entre HTTP & HTTPS

Il y a de nombreux critères qui différencient HTTP de HTTPS, voici les 3 principaux:

  1. Le schéma d’URL : Les URLs HTTPS commencent par « https: // » et utilise le port 443 par défaut, tandis que les URLs HTTP commencent par « http: // » et utilisent le port 80.
  2. La sécurité : HTTP n’est pas sécurisé et est soumis à de nombreuses attaques, qui peuvent laisser des attaquants avoir accès à des informations sensibles, en revanche un site Web tout en HTTPS est conçu pour résister et protéger contre de telles attaques.
  3. Les couches réseau : HTTP fonctionne sur la couche la plus élevée du modèle TCP/IP qui est la couche application.  Le protocole sécurisé SSL lui fonctionne comme une sous-couche inférieure du même modèle TCP/IP, mais il crypte le message HTTP avant sa transmission et la déchiffre à l’arrivée. On peut donc dire que HTTPS n’est pas un protocole séparé, mais se réfère à l’utilisation du HTTP ordinaire via une connexion SSL cryptée.

http-vs-https

Pourquoi utiliser le HTTPS ?

En préambule, le HTTPS est particulièrement utile sur les réseaux non cryptés (tel que le réseau Wi-Fi), ou n’importe qui sur le même réseau local peut « renifler » via packet sniff les données et accéder des informations sensibles.
Lorsque vous servez  du contenu depuis votre site via HTTPS, vous avez la garantie que personne ne va changer la façon dont les informations sont reçues par les utilisateurs. Si vous faites du business en ligne, vous aurez besoin du SSL. C’est la meilleure façon de protéger les données de vos utilisateurs et de vous défendre contre l’usurpation d’identité.
De plus en plus d’internautes refusent d’effectuer des transactions sur un site qui ne dispose pas d’un certificat SSL. Au final, afficher son certificat SSL sur le site indique aux clients qu’ils peuvent faire leurs achats et utiliser votre site Web en toute confiance et qu’ils seront protégés.

Let’s Encrypt : Installation simplifiée et gratuité des certificats

letsencrypt   Let’s Encrypt permet de simplifier l’installation et la création de certificats SSL gratuits sur un serveur. Ce projet va donc permettre à chacun de proposer des connexions sécurisées, de chiffrer les contenus échangés, de s’assurer de l’identité du serveur et d’éviter que le contenu ne soit altéré.  

Une fois votre certificat SSL Let’s Encrypt mis en place, vous pourrez proposer à vos visiteurs une connexion à votre site via une adresse en https ce qui permettra de les rassurer et également d’améliorer le référencement de votre site dans les moteurs de recherche.

Quel type de certificat choisir pour son site ?

Il existe 3 types de certificats SSL :https-ssl

  • Certificat SSL DV (pour la validation de domaine) : Let’s Encrypt délivre ce type de certificat qui indique seulement que le site est sécurisé. Ce certificat est idéal pour les blogs, sites vitrines, forum… ou tout autre site n’ayant aucune données sensibles à renseigner.
  • Certificat SSL OV (pour la validation de l’Organisation) : Ce type de certificat correspondra à un usage plus professionnel où des informations sensibles doivent être renseignées ou des paiements éffectués depuis une autre plate-forme.
  • Certificat SSL EV (pour une validation étendue) : Ce certificat est fortement recommandé pour les site e-commerce où le paiement s’effectue directement sur le site même.

Pour tout achat de certificat SSL DV, OV ou EV auprès d’une autorité certifiée, nous vous conseillons notre partenaire Trustico.

Installer un certificat SSL gratuit Let’s Encrypt sur un hébergement web mutualisé

L’installation d’un certificat SSL gratuit Let’s Encrypt est disponible de façon automatique sur toutes les solutions d’hébergement web mutualisé Linux 3Vision-Group incluant la fonctionnalité SSL. Vous devez simplement nous rendre dans votre espace client et activer votre certificat d’un simple clic. www.3vision-group.com Email: [email protected]

Voici comment héberger gratuitement et de manière pro son site internet

AfrofreeHosting, c’est l’entreprise qui fournit ce service professionnel gratuitement. Si vous avez une idée que vous désirez matérialiser sur Internet, plus de crainte. Afrofree Hosting vous offre un hébergeur made in France pour soutenir votre projet.
Avec AfrofreeHosting, vous pourrez facilement gérer votre plateforme via Ispconfig. Le support technique vous est inclus. Et si vous passez  LA COMMANDE, la livraison et la mise en place se fait en 24 heures au maximum.
L’équipe AfrofreeHosting se charge de la mise à jour quotidiennement. Vous pouvez prendre contact aussi avec nos téléconseillers pour plus d’infos.
Email [email protected]