Créer un blog gratuit et sécurisé avec WordPress

Vous cherchez un moyen de protéger votre blog efficacement contre la plupart des attaques qu’il pourrait subir de la part de personnes mal intentionnées ? Vous avez tout à fait raison. Je vais vous aider à appliquer quelques règles simples pour créer un blog gratuit et sécurisé.

Créer un blog gratuit avec WordPress

WordPress est un CMS (custom managment system) qui permet de faire un blog ou un créer un site web par glisser-déposer en quelques clics sans aucune connaissance. C’est actuellement la solution la plus utilisée sur le web pour cette fonction. En effet, il représente 42 % des sites web en 2024. Il existe deux sites WordPress : wordpress.com et wordpress.org.

WordPress.com

WordPress.com ne permet pas de créer son blog gratuitement. Cela fonctionne par abonnement mensuel. L’inconvénient de ce site, c’est que vous devez demander au support les installations pour vos plugins. Il peut devenir très coûteux sur le long terme.

L’avantage en revanche c’est que si vous n’aimez pas la technique et que vous cherchez un site sécurisé, WordPress.com est une bonne solution.

Toutefois, je vous engage à vous forcer à un peu de technique. Vous verrez, c’est moins compliqué que ça en a l’air.

Si vous cherchez à avoir la maîtrise de votre business, la plus sage décision que vous pouvez prendre est d’utiliser un hébergement pour votre blog. Il sera payant et permettra d’utiliser la version gratuite de WordPress.

WordPress.org

WordPress.org quand a lui permet de télécharger gratuitement le programme afin de l’installer sur votre hébergement web. C’est la solution que je vous recommande. Bien que l’interface puisse paraître un peu déstabilisante, au départ, lorsque l’on n’est pas technique, elle reste néanmoins conviviale et est facile à prendre en main. Vous trouverez de nombreux tutoriels à ce sujet.

En téléchargeant WordPress, vous pourrez créer un blog gratuit ou construire un site en quelques heures. Vous serez alors maître de votre blog avec votre propre site.

Créer une installation sécurisée de WordPress.

Sécuriser WordPress commence lors de l’installation de WordPress. En effet, pendant le processus d’installation, vous allez devoir configurer plusieurs éléments importants.

L’hébergeur

Lorsque vous achetez un hébergement pour votre blog, vérifiez que celui-ci propose également une protection au niveau des serveurs. Par exemple contre les attaques DDOS (consiste à envoyer une grande quantité de connexion en même temps afin de saturer un serveur et de le rendre inaccessible), mais également s’il propose un firewall ou encore la sauvegarde automatique de votre site. Cela vous permet déjà de sécuriser tout ce qui est externe au blog WordPress.

Choisir des identifiants complexes

La première étape consiste à choisir des identifiants de connexion compliqués avec des lettres et des symboles. De cette manière les bots auront plus de difficultés à se connecter à votre compte. Cette notion est valable pour vos identifiants WordPress, mais aussi pour vos identifiants de base de données. Prévoyez aussi un mot de passe fort pour votre hébergement.

Renommer les bases de données

Par défaut WordPress s’installe en utilisant des fichiers et des dossiers portant un préfixe ‘wp_’. Il est possible de changer ce préfixe afin de rendre plus difficile la découverte de l’installation de votre site par des utilisateurs peu scrupuleux. Utilisez des minuscules, sans caractères spéciaux ni accent. Vous pouvez utiliser le symbole ‘-‘ ou ‘_’ pour remplacer les espaces.

Créer un blog gratuit et sécurisé

Une fois votre blog gratuit WordPress installé, vous pouvez travailler sur la sécurité globale de WordPress. Pour cela, vous allez devoir vérifier quelques points sur votre blog et télécharger quelques plugins qui vont vous simplifier la vie en vous épargnant la technique. Il n’est pas nécessaire d’avoir tous les points d’effectuer sur votre blog, mais si vous voulez créer un blog gratuit et sécurisé, il faut suivre le maximum d’indications.

Les mises à jour

Pour avoir un site qui soit sécurisé, il est nécessaire de toujours disposer des dernières versions disponibles.

Les mises à jour de WordPress

Veillez à mettre à jour régulièrement WordPress avec la dernière version disponible. De nombreuses corrections au niveau du code sont faites régulièrement afin de combler des failles de sécurité. En mettant à jour WordPress, vous fermez des portes d’accès à votre site et ainsi, il ressemblera plus à un coffre qu’a une maison abandonnée.

Les mises à jour de PHP

Souvent oubliées, les mises à jour de PHP de votre serveur web sont pourtant indispensables si vous ne voulez pas qu’un jour votre blog ne soit plus fonctionnel. C’est votre hébergement web qui permet de faire la mise à jour. Si vous ne trouvez pas, renseignez-vous dans l’aide de votre hébergeur. Sur OVH, cela se situe sur la page qui s’affiche lorsque vous sélectionnez votre nom de domaine dans la colonne de gauche.

Les codes PHP changent énormément. Ainsi, des fonctions apparaissent et d’autres disparaissent. Si vous ne mettez pas à jour régulièrement WordPress et PHP, il va sans doute arriver un moment ou WordPress utilisera du code qui ne sera pas compris par votre hébergement web. Votre page affichera alors des erreurs, voire ne s’affichera plus du tout. De plus, PHP comporte lui aussi des failles de sécurité. En installant la dernière version, vous sécurisez davantage votre blog.

Créer un blog gratuit et sécurisé avec la mise à jour des plugins et du thème

Les plugins sont autant de portes d’entrée pour l’attaque d’un pirate informatique. Certains sont bien sécurisés, mais ce n’est pas toujours le cas. Assurez-vous d’avoir les dernières mises à jour de vos extensions et supprimez également les thèmes et les plugins que vous n’utilisez pas. Pensez également à mettre à jour votre thème WordPress dès qu’une nouvelle version est disponible.

Utiliser une connexion HTTPS

Afin de protéger les données transmises par votre site, vous devez créer une clé de chiffrement chez votre hébergeur. Ca permet de bénéficier d’une adresse Internet avec le protocole HTTPS. Ainsi, votre site doit être uniquement accessible par l’adresse HTTPS. Vérifiez que vous n’avez pas accès à votre site en HTTP et en HTTPS. Si c’est le cas, faites une redirection 301 de l’URL HTTP vers le HTTPS (vous pouvez utiliser le plugin ‘redirection’). Bon je sais ça fait un peu charabia, mais en gros, votre site doit être accessible uniquement en tapant : « https://monsite.com ». Si vous tapez « http://monsite.com/ » dans la barre de recherche et que cette URL ne change pas en « https://monsite.com/ », c’est que vous avez besoin de faire une redirection.

Créer un blog gratuit et sécurisé en changeant sa connexion à l’espace d’administration de WordPress

Si vous ne l’avez pas fait lors de l’installation de WordPress, vous pouvez toujours le faire directement une fois connecter à WordPress.

Cette vidéo explique cette méthode :

Pour assurer un maximum de sécurité à votre blog, choisissez un mot de passe fort composé de majuscules, de minuscules, de signes et de caractères spéciaux.

Renommer la page d’administration

Pour éviter que l’on trouve votre page de connexion de votre interface administrateur, il est conseillé de la renommer.

Cela concerne la page « wp-admin ». Pour faire cela, je vous conseille de créer une connexion FTP avec votre blog. Vous pouvez directement renommer le fichier sur le serveur et faire une copie de l’original que vous garderez uniquement sur votre disque dur personnel. Voici comment vous connecter à WordPress grâce à Filezilla :

Une fois le fichier renommé, vous accéderez à votre interface d’administration en tapant : « https://monsite.fr/monnouveaunom ».

Vous pouvez changer l’URL de connexion à votre site WordPress pour remplacer « wp-admin » en utilisant une extension. Cette vidéo explique comment faire cela :

Supprimer les administrateurs inutiles

Si vous êtes plusieurs personnes à administrer le blog et qu’il y a des changements dans votre équipe, pensez à mettre à jour les rôles de chacun en cliquant sur « utilisateur » dans la colonne de gauche. C’est nécessaire pour créer un blog gratuit et sécurisé de n’autoriser l’accès à l’administration de WordPress qu’aux personnes concernées.

Supprimer les inscriptions au site

Autre chose à vérifier sur votre blog : l’inscription des personnes à votre blog. Pour éviter cela, rendez-vous dans la colonne de gauche de WordPress.

Sélectionner : Réglage -> général. Puis, décocher la case inscription « Tout le monde peut s’enregistrer ».

Cette option n’est pas à désactiver si vous avez un espace membre, des comptes clients, ou la nécessité d’avoir une inscription sur votre site.

Limiter les tentatives de multi-connexion

Pour éviter les attaques brutes de force sur votre page d’administration (essais de connexion répétée avec un logiciel afin de découvrir les identifiants) utilisez un plugin comme WP Limit Login Attempts.

Vous pourrez ainsi limiter le nombre de tentatives permises avant un blocage temporaire de l’IP (Internet Protocole) qui essaie de se connecter.

Sauvegarde et double identification

Pour protéger davantage l’espace d’administration, vous pouvez utiliser le plugin « Jetpack » qui permet de créer une double identification pour la connexion à l’espace d’administration, mais également d’effectuer une sauvegarde journalière de votre base de données afin d’avoir toujours une copie de votre blog en cas de problème. Vous pouvez également effectuer des sauvegardes à partir de votre hébergeur web.

Ajouter un captcha

Un captcha est composé d’une série d’images sur lesquelles il faut cliquer afin de valider un formulaire. Cela évite le spam dans les commentaires et l’utilisation de « robots » pour se connecter à votre interface d’administration. Vous pouvez utiliser le plugin Advanced noCaptcha & invisible Captcha (v2 & v3) pour créer des formulaires WordPress sécurisés. Voici également une vidéo qui explique comment installer une connexion sécurisée en utilisant une connexion Google ou Facebook :

Le fichier wp-config

Vous pouvez ajouter des lignes de code au fichier wp-config pour créer un blog gratuit et sécurisé. Pour cela, utilisez Filezilla et Notepad++ pour éditer votre fichier.

Supprimer les modifications de code via l’éditeur de WordPress

Vous pouvez accéder aux fichiers et au code WordPress directement depuis l’interface de WordPress. Si quelqu’un entre en possession de votre blog, il pourra implémenter un code malveillant directement dans le code WordPress, ce qui rend difficile à détecter par la suite, voire peut détruire votre site. Préférez l’utilisation de Filezilla avec une connexion FTP et réservez WordPress à son premier rôle, celui qui permet d’écrire des articles.

Pour supprimer l’éditeur de WordPress, ajoutez la ligne suivante au code au fichier wp-config :

disallow_file_edit = true;

C’est pour cette raison que je recommande une connexion FTP. Faites aussi régulièrement un copier-coller de l’ensemble des fichiers contenu sur votre serveur vers votre disque dur. En cas de problèmes, vous n’aurez qu’à re déposer l’ensemble de ces fichiers pour revenir à une version stable de WordPress. Cette sauvegarde ne concerne que les fichiers, pensez à sauvegarder vos bases de données.

Limiter l’envoi des fichiers

Pour éviter l’envoi de fichiers sur votre blog WordPress qui normalement ne sont pas autorisés, ajoutez la ligne de code suivante.

allow_unfiltered_uploads = false;

Il existe d’autres instructions qui permettent de protéger le fichier wp-config, seulement le but de l’article n’est pas de faire du code, mais de vous présenter les premiers soins à apporter a votre blog.

Conclusion

Bien sûr, on ne peut pas protéger un blog à 100 %, cependant toutes ces astuces proposées vous permettent de rester à l’abri de la plupart des pirates informatiques. Essayez d’en appliquer le maximum pour votre blog.