On voit fleurir de plus en plus d’article traitant de la sécurité sur WordPress… je me suis moi même intéressé à la question il y a quelques mois suite à la campagne de hacking qui visait en particulier les sites sous WordPress…
Des plugins en veux tu en voila… des fois je me demande si un jour vous oubliez le morceau de sucre dans votre café, vous ne seriez pas tenté de chercher un plugin pour ça ! 😉
Avant d’engager l’artillerie lourde pour une hypothétique menace sur votre blog, pourquoi ne pas respecter quelques mesures toutes simples dès le départ ?
Installation de WordPress
Mot de passe:
Lors de l’installation, WordPress va vous demander quelques informations plus ou moins techniques, elles donnent l’accès complet à votre site, il faut bien faire attention à ne pas faire n’importe quoi.
La première chose qu’a besoin WordPress est une base de données (pour y stocker vos articles, plugins, thèmes…), et de s’y connecter. Les informations de connexion sont en général fournies par votre hébergeur, il connait son métier, il n’y a pas à priori pas de problème. Mais si vous devez choisir vous même un mot de passe, choisissez-en un « bon » : Choisir un bon mot de passe
Préfixe de table:
WordPress va ranger ses données dans des tables (qu’on peut comparer aux dossiers de votre ordinateur), pour simplifier il propose que toutes commence par « wp_ » , vous pouvez le changer, cela ajoute un peu de sécurité… mais si un pirate a réussi à entrer.. il ne mettra pas longtemps a trouver votre préfixe aussi… Par contre, cela permet par exemple de réinstaller un nouveau WordPress sans écraser l’ancien (en cas de gros problème sur votre blog) , ou d’avoir plusieurs blogs dans une seule base de données, la plupart des hébergeurs limitant le nombre de bases.
Le compte « admin »:
Pour gérer votre blog, vous aurez besoin d’un compte administrateur, le système propose « admin » comme nom, changez-le ! Les hackers utilisent la plupart du temps des robots qui testent ce nom et quelques variantes. Un bon nom et un bon mot de passe, et vous voila en sécurité face à 90% de la menace !
Créez un compte auteur:
Même si vous êtes seul sur votre blog pour tout gérer (et à plus forte raison si ce n’est pas le cas !), je vous conseille de créer un compte auteur, votre compte « admin » ne vous servira uniquement pour vos tâches administratives ( maj. de plugin, de thème, widget…). Cela vous évitera quelques soucis, et niveau design, c’est quand même plus sympa de voir écrit « article publié par Patrick » plutôt que « article publié par admintruc », la quasi totalité des thèmes WordPress indiquant l’auteur des articles dans leur template…
N’installez pas n’importe quoi !
WordPress est gratuit, beaucoup de thèmes et plugins aussi.. c’est la fête pour votre comptable 🙂 … attention, la fête risque de tourner très vite au fiasco si vous installez n’importe quoi sur votre blog…En plus d’alourdir votre site, ce qui n’est pas vraiment une bonne idée pour votre référencement, cela peut entrainer de graves failles de sécurité.
Demandez conseil !
On trouve tout et son contraire sur Internet, n’hésitez pas à demander conseil auprès de « vrais gens« , sur les forums ou communautés, voici 3 communautés Google+ très utiles, où j’interviens plus ou moins régulièrement… et si c’est pas moi, il y a de nombreux autres membres qui se feront un plaisir de vous répondre.
- WordPress France ( la référence )
- Parlons Blog ! ( plus fun, on y parle de blogging en général)
- Cree1site ( surtout accès rentabilisation et référencement)
Je ne suis pas un adepte du « tout plugin« , mais certains simplifient grandement la vie de blogueur, et lorsque l’on comprend ce qu’ils font, cela me dérange pas de déléguer ces tâches « ingrates » à des plugins… j’utilise ces 2 plugins:
Limit Login Attempts
Ce plugin permet de limiter le nombre de tentative de connexion à l’administration de votre blog. Vous pouvez lui dire de vous envoyer un email après x tentatives, configurer le temps de blocage etc…
Très utile comme vigie, pour ensuite adapter votre protection à la menace réelle sur votre blog.
Pour le télécharger c’est ici : Limit Login Attempts (à noter qu’il n’est plus mise à jour… va falloir en chercher un autre ASAP)
Acunetix WP Security
Un peu le couteau suisse de la sécurité, il me sert surtout à faire des sauvegardes de ma base de données (ce qui peut servir pour une migration de blog, un problème technique de l’hébergeur etc…), mais peut aussi être utile si vous avec un blog et que vous n’avez pas suivi les bonnes pratiques dès l’installation. Il va tester une grande partie des possibles failles de votre blog, et vous indiquer comment y remédier.
Pour le télécharger c’est ici : Acunetix WP Security
Voila, maintenant vous êtes presque à l’abris des pirates (on l’est jamais totalement), dans un prochain post, je vous parlerez de solutions encore plus efficaces pour ceux qui veulent encore plus de sécurité…
0 comments on “Sécurité & WordPress : Les bonnes pratiques… et quelques plugins” Add yours →