WordPress sécurisé

WORDPRESS

Outil majeur dans la gestion de contenu, WordPress mérite une attention particulière aussi bien dans son installation que dans son utilisation.
Prisé par les blogueurs, ce CMS attire le piratage de site. L’aspect sécurité n’est donc pas à négliger.

Un environnement Vulnérable

On peut avoir mis en place des systèmes de sécurisation, pensant ainsi avoir mis WordPress en situation optimale pour qu’il ne soit pas exposé au danger.
Seulement, voilà, il faut avant tout penser à l’environnement du CMS (Content management system). En effet WordPress est en contact direct avec un hébergeur de site, et votre ordinateur.
Les premières failles peuvent venir de là.

Vulnérabilités du serveur Web

Les hébergeurs de sites sont régulièrement attaqués, pour la bonne raison qu’ils peuvent s’emparer de serveurs qui pourront leur servir à des fins malveillantes.
Ces raids informatiques se font généralement par Deni de Service (DDoS). C’est un envoi innombrable de requêtes simultanées, qui va empêcher l’utilisation normale du serveur et qui peut le neutraliser complètement, voir le faire tomber.
Cette vulnérabilité peut aussi se trouver dans une faille de la version PHP de l’hébergeur, comme sur les auto-installeurs de CMS qui peuvent avoir ce genre de point faible au niveau de leur développement, s’ils ne sont pas mis à jour.

Vulnérabilités de l’hébergement mutualisé

Pour faire baisser les coûts d’un hébergement Web, la mutualisation s’est généralisée. Plusieurs sites sur un même serveur font chuter les prix.
Si un de ces sites a été piraté et qu’un code malveillant a pu y être installé, cela implique que votre site soit lui aussi potentiellement touché.

Vulnérabilité de votre poste de travail

Votre ordinateur infecté peut lorsque vous vous connectez transmettre un virus à votre CMS. Attention donc aux logiciels malveillants, ou aux téléchargements de fichiers peu surs.
L’intrusion d’un malware sur votre ordinateur peut avoir des conséquences catastrophiques sur votre site Web, lorsqu’il s’attaquera à votre base de données.

A ce stade de la notification des diverses possibilités pour mettre à mal WordPress, on voit que la sécurité doit être perçue dans une certaine globalité, et que se concentrer uniquement sur le CMS, n’est pas réaliste.
Alors bien sûr, vous ne pouvez pas avoir la main mise sur tous les paramètres énoncés, en particulier lorsqu’ils sont du ressort de votre hébergeur. Mais se renseigner, avant d’acheter un hébergement peut aider. Certains hébergeurs ont des problèmes de serveurs infectés, dont la récurrence des soucis occasionnés n’est pas terminée.

Mise en marche de WordPress

Installation

Une première protection très simple doit être mise en place dès l’installation du blog, en changeant le nom du préfixe de la base de donnée.
On trouvera WP_ par défaut, donc une personne qui cherchera à accéder à votre base va invariablement entrer ces paramètres.
La première parade sera de re rendre un peu plus difficile cette étape en choisissant 3 ou 4 lettres différentes pour le préfixe de votre base de données.

Ensuite il est demandé un login est un mot de passe pour l’administrateur. Par défaut on retrouvera admin. C’est aussi à changer bien sûr.
J’ai pu remarqué que des personnes ayant plusieurs blogs laissent le nom admin par défaut, mais donnaient un mot de passe difficilement cassable, avec majuscules, minuscules, des points d’exclamation, des tirets… bref le tout sur un minimum de 9 caractères.

Extensions et plug-ins

Ils sont bien pratiques puisqu’ils permettent de personnaliser facilement votre blog, en lui donnant des possibilités de contact avec les newsletters, de gérer les photos avec slides, diaporamas, ou encore d’afficher la météo. L’envers de la médaille est qu’une extension va être le talon d’Achille de votre blog.
Pour éviter une trop grande vulnérabilité, choisissez ceux qui on été fortement téléchargés, dont les mises à jour se font régulièrement.
De votre côté, appliquez ces mises à jours.
Une chose que l’on oublie fréquemment, ce sont les thèmes mis par défaut, pour lesquels on se penche moins sur cette question de mise à jour, puisqu’on ne les utilise pas tous.
Alors vous allez prendre une décision, la même que pour les plug-ins, soit-on utilise est on vérifie que les dernières versions sont bien installées, soit on supprime.

Protection

Protéger WordPress peut se faire à l’aide de plug-ins simples à installer.
Le premier à mettre en place est “Limit Login Attempts” pour limiter les tentatives de connexions.
En effet, l’utilisation de ce que l’on nomme la force brute est l’une des méthodes les plus utilisées pour pénétrer votre site. Pour cela, des centaines de milliers de combinaison sont essayées rapidement.
Le plug-in “Limit Login Attempts”, va limiter le nombre de tentatives de logins possible simultanément, et va jouer sur l’utilisation des cookies d’authentification.

Voici “iQ Block Country”
Il bloque les les visiteurs de certains pays d’accéder soit à votre site, soit a votre back-end. C’est vous qui choisissez les pays à bloquer. Mais attention lors de sa mise en place. N’oubliez surtout pas de débloquer votre pays, sinon vous même ne pourrait plus accéder à votre panneau d’admin.

Tagged

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Résoudre : *
1 × 23 =