Bien sécuriser WordPress

Bien sécuriser WordPress
Bien sécuriser WordPress
User Rating: 0 (0 votes)

WordPress est le CMS le plus populaire et du coup le plus attaqué.
Des nouvelles versions sont régulièrement mises à disposition mais il est bon également de respecter certaines règles.

Comment bien sécuriser WordPress

Il existe des plug in qui nous permettent d’améliorer la sécurité de notre site Internet, mais certaines règles basiques peuvent également être mises en place.
Le site Ya Graphic vient de publier une infographie présentant ses points, nous la reprennons ici.

Ne plus utiliser le nom « Admin » comme nom d’utilisateur

Dès la mise en place d’un site internet avec WordPress, nous devons donner un nom d’administrateur pour pouvoir se connecter à l’admin. Il est proposé Admin, nous le changerons et en choisirons un spécial.

Créer un mot de passe complexe et le changer régulièrement.

Le choix de ces mots de passe est devenu problématique mauis crucial. Le principe le plus sécurisant est de se trouver une règle de création, de se créer son propre algorythme.
Exemple : 1ere lettre du site + un mot simple (par exemple canard) + on remplace la dernière lettre par le symbole # + dernière lettre du site + chiffre de l’année
donc pour ce site cela pourrait donner wcanar#m15
(attention ceci est un exemple de règle que vous vous devez d’adapter, car si tout le monde l’utilise …)

Ne pas mettre de permission en 777 aux fichiers et répertoires

Les droits d’accès décrivent pour chaque fichier ou chaque répertoire, qui a le droit de lire, exécuter ou modifier. Le Chmod 777 signifie que tout le monde a tous les droits (lecture, écriture, exécution) sur les fichiers et répertoires. Cette mention est donc la plus risquée.

Changez le préfixe des bases

Lors de la procédure d’installation de WordPress, il est demandé de donner un préfixe automatique aux différentes bases que allons devoir créer. Ce préfixe est proposé comme ceci wp_. Il est conseillé de changer ce principe en donnant un préfixe différent.

Limiter les échecs de connexion

Pour accéder à l’admin de son site, nous devons saisir le nom et le mot de passe associé. Lors d’une procédure de tentative d’accès, plusieurs essais peuvent être effectués. Nous pouvons limiter le nombre d’essais provenant de la même adresse IP.

Modifier l’URL d’authentification

Là aussi, c’est une règle quyi vaut pour tous les sites générés avec WordPress, l’adresse d’accès au login est fondé sur la même logique : www.monsite.com/wp-login.
Il est là aussi conseillé de modifier cette règle de base.

L’infographie propose encore quelques principes pour bien sécuriser WordPress :
– supprimer les fichiers readme.html et wp-config-sample.php
– choisir un hébergeur web reconnu par sa fiabilité
– scanner les répertoires du site avec une extension Wordpess fiable
– protéger wordpress des abus du pingback XML – RPC (DDos)
– optimiser le fichier .htaccess pour renforcer la sécurité du site
– utiliser une connexion SFTP plutôt que FTP

L’article d’origine : Sécurité WordPress : une check-list pour sécuriser son site

bien sécuriser wordpress


The following two tabs change content below.
j'ai débuté ma carrière professionnelle dans le monde de la documentation et c'est pour cette activité que je créa, en 2001, ma première newsletter. Je participe ensuite à la création et à la mise en place d'une solution d'e-mailing et de création de newsletters automatisées et prendrais rapidement la responsabilité du développement commercial et technique de ces solutions. J'ai accompagné au quotidien des clients aux profils divers (PME, grands groupes, sociétés cotées en bourse) dans la genèse, la mise en place et la gestion de leurs campagnes e-mails. Depuis 2013, je partage ses expériences et ses acquis en dispensant des programmes de formation, aussi bien en intra-entreprise qu'en centre de formation.

Derniers articles parEmmanuel Robin (voir tous)

j'ai débuté ma carrière professionnelle dans le monde de la documentation et c'est pour cette activité que je créa, en 2001, ma première newsletter. Je participe ensuite à la création et à la mise en place d'une solution d'e-mailing et de création de newsletters automatisées et prendrais rapidement la responsabilité du développement commercial et technique de ces solutions. J'ai accompagné au quotidien des clients aux profils divers (PME, grands groupes, sociétés cotées en bourse) dans la genèse, la mise en place et la gestion de leurs campagnes e-mails. Depuis 2013, je partage ses expériences et ses acquis en dispensant des programmes de formation, aussi bien en intra-entreprise qu'en centre de formation.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

99 − 93 =