La sécurité d’un site WordPress n’est pas à prendre à la légère. Se faire hacker peut arriver à n’importe qui et ces conseils vous permettront de limiter les dégâts potentiels. C’est quand tout fonctionne correctement qu’il faut mener des actions de prévention !

1 – Gardez votre installation WordPress à jour
85% des sites WordPress qui se font hackés sont des sites qui n’ont pas fait de mise à jour depuis plusieurs mois voire plusieurs années.
Chaque mise à jour du cœur de WordPress apporte des correctifs de sécurité. Il en va de même pour vos plugins !
Notez que WordPress bénéficie d’un système de mise à jour – et de réinstallation, entièrement automatisé.

2 – Utiliser des mots de passe sécurisés
Un compte administrateur disposant de privilèges élevés – que ce soit sur votre site WordPress ou votre ordinateur personnel, doit disposer d’un mot de passe d’au moins 8 caractères incluant :
.Des chiffres ;
.Des symboles spéciaux ;
Cela vous évitera de subir des attaques de hackers consistant à tester les mots du dictionnaire.

Évitez toute donnée faisant référence à votre vie personnelle comme une date de naissance, un numéro de département. De nos jours, la vie privée est très mal protégée sur Internet.

Bien entendu, utilisez des mots de passe uniques pour vos différents comptes.

3 – Utilisez les clés secrètes dans wp-config.php
Vous avez la possibilité d’inclure des clés secrètes dans le fichier wp-config.php, comme suit :

define('AUTH_KEY', '{zSq`#=nO*rE~~#;3.Z{3Bm_x7; A`>m_B%9');
define('SECURE_AUTH_KEY', '#,1-PL;:KBGqbsm7~P3>_W?g![L1nc?kC');
define('LOGGED_IN_KEY', 'NbwnZfZ_4?i%#h8sgmtKeOm;Tki+2g}NLi+T9');
Vous pouvez générer des clés aléatoires à l’aide de ce lien : https://api.wordpress.org/secret-key/1.1/

4 – Protégez votre fichier wp-config.php
Modifiez votre fichier .htaccess situé à la racine de votre serveur FTP en y ajoutant les lignes ci-dessous. Ces commandes empêcheront un hacker de récupérer votre identifiant et mot de passe MySQL en cas de problèmes avec PHP.

 deny from all


Vous pouvez renforcer la sécurité de ce fichier en le mettant sous CHMOD 400 (Lecture pour le propriétaire), ceci interdira sa lecture par le public en cas de problème PHP.

5 – Modifiez le préfixe des tables WP
Le préfixe wp_ est proposé au début de l’installation WordPress, il est préférable de le modifier en n’importe quel autre préfixe.

6 – Sauvegardez régulièrement votre site ou blog WordPress
Pensez à effectuer une sauvegarde régulière de votre site web, WP est livré avec un outil d’exportation qui sauvegarde tout votre site en un seul fichier XML. Il est disponible sur le menu Outils > Exporter. Cette opération sauvegarde les articles, pages, commentaires, champs personnalisés, termes, menus et contenus personnalisés.

Vous pouvez également effectuer une sauvegarde complète depuis le cPanel de votre site web, ou utiliser une solution payante de sauvegarde spécial WP VaultPress créé par Automattic (la société éditrice de WordPress).

7 – Augmentez votre sécurité avec des plugins spécialisés
Lockdown WP Admin est un plugin qui vous protège contre des attaques de type Brut Force en faisant diminuer le nombre d’essai de login/password sur votre page de connexion.
Acunitex Secure WordPress est un plugin complet qui permet d’activer des fonctions spéciales pour sécuriser au maximum votre blog ou site sous WP.
Bulletproof Security vous permets de tester la vulnérabilité de votre installation WordPress et vous suggère des corrections à effectuer.

8 – N’utilisez que les plugins téléchargeables sur le site officiel WordPress
Des milliers de plugins sont disponibles pour WordPress, cependant, gardez la bonne habitude les choisir et les télécharger à partir du Plugin Directory officiel de WordPress, ou bien à partir de votre tableau de bord au menu Plugin > Ajouter.



dimanche, janvier 19, 2014





« Retour