6 façons de renforcer la sécurité de son blog WordPress

Avec près de 70 millions de site dans le monde, soit environ 20% des sites Web de la planète, WordPress est sans conteste le content management system le plus répandu aujourd’hui. On en connaît les raisons : flexibilité, facilité de personnalisation, offre inépuisable de plugins et autres extensions… Ce site utilise lui aussi WordPress, et c’est donc grâce à cette petite expérience que je me lance dans la publication de conseils et autres trucs pour profiter pleinement de cette plate-forme !

Aujourd’hui, je commence par un sujet (trop) souvent méconnu des blogueurs : la sécurité ! Car le fait que WordPress soit si répandu a une contrepartie : les hackers et autres malveillants savent exploiter les failles présentées par les sites sous WordPress. Pourquoi faire ? Eh bien, par exemple, “injecter” des lignes de code qui vont rediger des visiteurs vers d’autres sites (de jeux, de vente de pillules,…), introduire des liens cachés pointant vers leur site, créer des pages qui bénéficient du paravent d’un site respectable,…

Voici 6 conseils pratiques, à la portée de tous.

  1. Supprimer le nom d’utilisateur “admin”. Par défaut, c’est ce que votre blog WordPress va vous donner… et c’est ce qu’un hacker va utiliser en premier. Donc, la première chose à faire est d’aller dans la rubrique “utilisateurs”, de créer un nouveau compte “administrateur” avec un identifiant bien à vous (pas “toto”, ou “chouchou” !), puis de supprimer le compte avec le nom “admin”.
  2. Choisir un mot de passe robuste. Ne choisissez pas “paris” ou “bruxelles”, ni même “paris1” ou “bruxelles2” ! Les hackers pratiquent en effet des “attaques au dictionnaire” : ils testent les mots du dictionnaire, en sachant que de nombreux mots de passe sont des mots courants. Un bon mot de passe possède au moins 8 caractères et mélange majuscules, minuscules, chiffres et caractères spéciaux (*,&, §…).
  3. Mettre à jour WordPress et vos plugins régulièrement. Les versions plus anciennes ont des vulnérabilités connues – c’est d’ailleurs l’un des objectifs des mises à jour que de les faire disparaître. Les hackers connaissent les failles des versions anciennes de WordPress et des plugins : inutile de leur faciliter la tâche, mettez à jour régulièrement votre installation.
  4. Supprimer la référence à la version de WordPress dans l’en-tête (head) de vos pages. Lorsque votre site affiche une page pour un utilisateur, il y a des informations qui ne figurent pas sur la page elle-même, mais qui aident le navigateur à faire son travail : elles sont dans une partie que l’on appelle “head”. Là encore, inutile de faciliter la tâche d’une personne malveillante en lui donnant les clés de votre site, notamment en lui indiquant quelle est la version de WordPress que vous utilisez. J’utilise un petit plugin pour faire ce travail, et nettoyer toutes les informations inutiles que WordPress génère automatiquement : Declutter WordPress.
  5. Sauvegarder régulièrement sa base de données. Certains hébergeurs offrent ce service. Sinon, le plugin WP-DB-Backup permet de réaliser des sauvegardes de sa base de données à la demande : c’est un des plugins les plus téléchargés !
  6. Limiter les tentatives de login. Connaissez-vous les attaques dites de “force brute” ? Il s’agit de nombreuses tentatives de login, évidemment automatisées, qui sont parfois les “attaques au dictionnaire” du point précédent. Un plugin offre une solution : Limit Login Attempts.

Voilà, quelques conseils souvent de bon sens et qui limitent fortement les risques de mauvaise surprise !

Commentaires

  1. Au delà de ça, si vous êtes sur Apache, vous pouvez modifier votre .htaccess pour n’accepter que votre IP sur le répertoire /wp-admin.. et le tour est joué.
    Mais les conseils ci-dessus qui sont de bon sens sont toujours très utile à rappeler..qui plus est en français. Souvent on les retrouve en anglais ce qui peut sembler rédhibitoire.

Laissez-moi un commentaire !