Comment sécuriser son site Wordpress

Bonjour à toutes et à tous,

 

Aujourd’hui je vais évoquer la manière de sécuriser son site Wordpress à l’aide de quelques petites astuces simples.

 

Pour ceux qui ne savent pas ce qu’est Wordpress, il s’agit d’un CMS (Content Manager System). Plus précisément, Wordpress est un gestionnaire de contenu : un outil qui vous permet d’administrer votre site internet très facilement.

 

Un outil comme Wordpress vous permet de concevoir un site modulable et administrable très rapidement. Par ailleurs, sa forte communauté fait vivre une base importante de modules et d’extensions qui vous permet d’enrichir votre site de nombreuses fonctionnalités.

 

Attention toutefois : la grande force de Wordpress en fait aussi sa grande faiblesse. En effet, si les modules proposés par la communauté s’avèrent appréciables de part le diversité, certains d’entre eux peuvent comporter des failles de sécurité.

Wordpress comporte également des failles de sécurité qui sont corrigées au fil du temps  par des mises à jour proposées par les concepteurs.

 

Réaliser toutes les mises à jour disponibles

 

Pour les mêmes raisons que celles évoquées un peu plus haut, une mise à jour existe pour enrichir une fonctionnalité ou pour corriger un problème lié à la compatibilité ou la sécurité. Dans tous les cas de figure, vous êtes gagnant à mettre à jour votre site.

 

Mais mon prestataire internet m’a dit de ne pas faire les mises à jour car cela écraserait les modifications apportées à mon site.

 

Un tel argument n’est malheureusement pas acceptable car il vous sera dissimulé quelques défauts mineurs ou majeurs liés à la conception de tout ou partie de votre site.

 

Restreindre l’accès à votre administration

 

Ne divulguez jamais vos mots de passe. Même une personne bien intentionnée n’est pas à l’abri d’outils malveillants sur son poste de travail.

 

Masquez les informations d’accès à votre administration.

L’accès à l’administration se faisant par défaut et donc dans la grande majorité des cas via le chemin d’accès “wp-admin”, les personnes malveillantes utilisent cette information pour pirater plus rapidement l’accès à votre interface d’administration.

Aussi, renommer le chemin d’accès à l’administration par défaut permet d’améliorer rapidement et simplement votre sécurité.

 

Pour aller plus loin, nous vous conseillons l’utilisation des modules de sécurité suivants :

• wps hide login : Ce module permet de modifier le chemin d’accès à votre administration

• login lockdown : Il permet de limiter le nombre de connexion avec un mauvais mot de passe et bloque l’accès si le nombre de tentative dépasse 3 essais.

• AskApache Password Protect : Ce dernier permet d’ajouter un niveau de sécurité supplémentaire en créant un identifiant et un mot de passe pour accéder à tout ce que contient le répertoire wp-admin (ce qui peu vous protéger contre certains type d’attaque).

 

Sauvegardez vos données

 

Par ce que le risque zéro n’existe pas, il est primordial de conserver des copies de votre code source et de votre base de données.

Un prestataire professionnel se doit de vous proposer un service de sauvegarde automatique. Ce procédé vous permet de rétablir votre site à l’état dans lequel il se trouver au moment de la sauvegarde.

En cas d’attaque ou de perte de données, la restauration du site vous évitera bien des soucis ! Vous aurez potentiellement perdu les quelques données (articles, images, etc…) ajoutées entre la dernière sauvegarde et le moment de la restauration, mais vous ne souffrirez pas de la perte totale de votre travail !

 

Indépendamment de votre prestataire, nous vous conseillons le module WP-DB-Backup qui vous permettra de mettre en place des sauvegardes automatique de votre site internet.

 

Ces trois astuces ne se suffisent pas à elles-mêmes pour contourner l’ensemble des problèmes de sécurité connus, mais elles sont simples à mettre en place et constituent déjà une base qui vous épargnera bien des ennuis.

 

Il existe d’autres points permettant d'accroître la sécurité de votre site Internet, qu’il soit réalisé à partir de Wordpress ou non.

Ces points relèvent de la compétence de votre prestataire (configuration de votre serveur, paramétrage de votre base de données, sécurisation des accès aux fichiers, etc…).

 

L’équipe Little Web Studio se tient à votre disposition pour toute question à ce sujet, nous serons ravis de pouvoir vous aider !

 

Nous reviendrons bientôt avec de nouvelles astuces et outils à vous présenter ici.

 

A bientôt ! Et que la culture du web soit avec vous ! :)