WordPress est un des CMS (système de gestion de contenu web) les plus populaires. Le revers de la médaille est qu’il est très connu et analysé aussi par les pirates. Les sites wordpress sont donc régulièrement sujets à des attaques, le plus souvent dans le but d’utiliser les ressources de votre serveurs pour héberger du contenu ou spamer. Il existe un ensemble de bonnes pratiques qui permettent de limiter les risques d’attaques.
Mettre à jour WordPress, les plugins et les thèmes
La première des mesures de sécurité à mettre en œuvre est de régulièrement mettre à jour le cœur de wordpress, les plugins (extensions) et le thème. En effet, les mises à jours contiennent des correctifs qui supprime les dernières failles de sécurité repérées.
Utiliser un mot de passe complexe et un login non évident
Si le login de votre compte wordpress est admin, il est plus prudent de la changer (créer un nouveau compte puis supprimer admin) avec un login qui ne contient pas admin et qui ne contient pas votre nom, le nom du site ou l’url du site. Utiliser des générateurs de mot de passe complexe comme celui intégré à wordpress ou bien des services en ligne tel que celui-ci.
Masquer l’URL de l’interface d’administration
Pour cela, vous pouvez utiliser WPS-Hide-Login
Installer un plugin de sécurité
Il est nécessaire d’installer un plugin de sécurité. Nous vous proposons d’utiliser un des ces 2 plugins qui permettent d’améliorer la sécurité de votre site wordpress :
iThemes Security est une extension, tout en un, qui permet de mettre en œuvre plusieurs actions de sécurisation de wordpress, par exemple :
- Blocage de l’accès à l’interface d’administration pour certaines périodes
- Mise en place des règles pour bloquer certains utilisateurs
- Blocages des attaques Brute Force (connexions multiples pour craquer le mot de passe)
- Sauvegarde de la base de données
- Détection de fichiers wordpress (noyau, thèmes, extensions) modifiés
- Changement de l’URL du back-office (pour éviter wp-admin)
- Obligation d’utiliser un mot de passe fort
- …
Wordfence est un plugin aux fonctionnalités proches de iThemes Security qui permet de bloquer les attaques et certains utilisateurs ou de détecter des fichiers modifiés ou non conformes. Wordfence est proposée en 2 versions : premium (payante) et free (gratuite).
Mieux vaut prévenir que guérir : faire des sauvegardes
Les hébergeurs proposent souvent des systèmes de sauvegardes mais il peut être intéressant de mettre en place vos propres démarches car les hébergeurs conservent peu de versions des sauvegardes. Pour cela, il existe différents plugins.
BackWpUp est un plugin wordpress qui permet de réaliser vos sauvegardes. Vous trouverez un tutoriel sur BacwpUp à cette adresse.