Comment sécuriser son WordPress adéquatement.

Petit article d’astuces de sécurité 101 pour les utilisateurs de WordPress.

C’est commun, beaucoup de robots et d’utilisateurs malintentionnés essaient de pénétrer par infraction sur votre site Internet WordPress. Tout comme Windows au niveau des systèmes d’exploitation, WordPress étant la plateforme la plus populaire, s’attire beaucoup de gens malintentionnés.

Les pirates informatiques vont généralement vouloir pirater votre site Internet pour la base de donnée. Avoir accès à tous les adresses courriels enregistrés est généralement la principale raison. Ensuite ils peuvent revendre ces adresses et vous vous faites bourrer de spam. D’autres vont vouloir les informations bancaires ou adresses personnelles de vos utilisateurs (si votre site possède un e-commerce), pour ensuite frauder les utilisateurs. Cela pourrait aller jusqu’à modifier votre page Web pour que les fonds des transactions se ramassent dans celui d’un gars louche en Russie ou aux îles Caïmans, donc la sécurité est toujours de mise.

Les astuces ci-dessous ne sont pas dans un ordre précis. Il est cependant à vous de voir si l’installation et la complexité en vaut la chandelle.

Cette extension analysera votre installation de WordPress et vous recommandera d’y apporter les modifications suivantes: Ne pas utiliser le préfixe wp_ pour votre base de donnée, ne pas utiliser le nom d’utilisateur admin, avoir un fichier .htaccess correctement configuré dans le dossier wp-admin, ne pas afficher la version utilisée de WordPress autant sur le site que dans les META.

L’extension ne peut pas changer votre nom d’administrateur ou le préfixe de la base de donnée une fois l’installation de WordPress complétée, donc vous devrez le faire manuellement si votre blog est assez vieux et ne désirez pas recommencer à zéro. Je ferai probablement un ou deux articles pour vous montrer comment faire si tel est le cas. Pour celles et ceux qui viennent tout juste d’installer WordPress ou qui s’apprêtent à faire l’installation de WordPress pour la première fois, je vous recommande fortement de faire les changements conséquent lors de l’installation de WP pour vous éviter beaucoup de zigonnage dans la base de donnée.

L’extension pourra cependant créer le fichier .htaccess du dossier wp-admin s’il est manquant, ainsi que de supprimer les informations relatives à la version de WP utilisée dans le META et ailleurs sur le site.

Cette extension fera également une fois par mois un scan complet de votre installation WP et vous enverra un rapport par courriel pour vous aviser si vous avez des mises à jours importantes ou failles de sécurités.

    • Faire les mises à jours des extensions et de WP régulièrement.

Tout comme les systèmes d’exploitations, il est recommandé de toujours maintenir à jour son installation de WP pour s’assurer que toutes les failles potentielles soient bien patchées.

    • Avoir un mot de passe fort pour le compte administrateur

Assurez-vous d’avoir un mot de passe contenant des chiffres, des majuscules, des minuscules et des caractères spéciaux, de minimum 8 caractères, afin de rendre la tâche plus difficile aux robots automatiques.

    • Avoir un certificat SSL wildcard

Ce certificat n’est que nécessaire si vous avez un site transactionnel. Il existe deux types de certificat SSL, un « normal » et un « wildcard ». Le wildcard est ce que je recommande, car il permettra de certifier la totalité de votre site Internet, y compris les sous-domaines, tandis qu’un « normal » ne sécurisera que le nom de domaine uniquement. Magasinez les prix, puisque ces derniers varient beaucoup d’un revendeur à l’autre.

Cet extension vous permettra de masquer une tonne d’informations aux utilisateurs de comptes réguliers de votre site. Seul le compte administrateur pourra voir ces mêmes informations masqués. Je recommande cet extension seulement si vous avez d’autres comptes d’utilisateurs sur votre site autre que le vôtre.

Cet extension est un MUST. Il vous permet de bannir des adresses IP selon le nombre de tentatives de connexions échouées à un des comptes utilisateurs/administrateurs de votre WP. Vous pouvez définir après combien de mauvais mots de passes un ban est autorisé. Ensuite vous pouvez définir combien de temps le ban doit durer la première fois. Vous pouvez configurer combien de bans consécutifs sont autorisés, avant de prolonger la période de ban pour une plus longue durée.

L’extension vous permet de sauvegarder dans un log les adresses IP et de vous envoyer un courriel lorsque des bans surviennent.

Cet extension vous permet de rendre inaccessible votre page wp-login.php à quiconque n’utilise pas votre adresse URL personnalisée pour l’atteindre. En effet, cet extension vous permet de créer une adresse URL personnalisée unique pour vous rendre à la page de connexion. Les gens essayant d’accéder sans cette URL personnalisée à votre wp-login.php sont automatiquement redirigés vers le site que vous désirez.

*NB: Depuis la dernière version de WordPress, cet extension ne fonctionne pas. Même avec votre URL personnalisée, le site vous redirige. Je vous recommande donc d’attendre que le bug soit résolu avant d’activer cet extension, sinon vous perdrez accès à votre panneau de contrôle WordPress.

Cet extension est simplement un filtre anti-spam. Si vous ne désirez pas demander que les visiteurs de votre site s’authentifient avec un compte pour laisser un commentaire (comme ici, je trouve ça vraiment chiant devoir me créer un compte pour laisser un commentaire), ou un maudit captcha avec des lettres tout gribouillés à lire et retaper, vous devez avoir une meilleure solution anti-spam que ce qui est inclus dans WordPress.

Invisible Captcha empêchera tout visiteur de publier un commentaire sur votre site, si Javascript est désactivé dans le navigateur de celui-ci. Jusqu’ici, tous les spam-bots que j’ai vu publient sans prise en charge Javascript, donc cet anti-spam est très efficace.

Bon, finalement l’article a été un peu plus long que je pensais. J’espère que la lecture ne vous a pas trop découragé.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *