Sécuriser un blog WordPress
Sécuriser un blog WordPress
Bien que WordPress soit une plateforme réputée sur le web, celle-ci n'est pas sans failles ! Alors, pour réduire au maximum les risques de problèmes, voici quelques conseils et règles à appliquer :
- Maintenir à jour : à chaque nouvelle version de WordPress, mettez à jour votre blog ! Au delà des nouvelles fonctionnalités apportées par la nouvelle version, cela permet de corriger de nombreux bugs et failles ! Cette règle est également applicable aux plugins et thèmes installés sur votre blog ! N'attendez pas pour mettre à jour. N'oubliez pas également de faire une sauvegarde de votre blog (fichiers et base de données) avant toute mise à jour majeure de votre blog.
- Compte utilisateur : à chaque installation, WordPress créé un compte administrateur par défaut nommé "admin" et de nombreux bloggeurs utilisent ce compte comme compte principal. Le problème est que lors d'une attaque sur votre blog, la personne malveillante va en premier tester ce compte car il connait son nom ! Créez donc un nouveau compte administrateur personnalisé puis supprimez ce compte "admin". Le second conseil concerne les mots de passes, choisissez toujours des mots de passes complexes (minuscule, majuscule, chiffres et caractères spéciaux) même si ceux-ci sont plus difficile à retenir ils permettent d'avoir des millions de combinaisons possibles rendant la tâche aux pirates nettement plus difficile !
- Masquer la version : par défaut, WordPress affiche le numéro de version de votre blog dans le code source de la page. Si vous ne maintenez pas votre blog à jour, un pirate pourra très facilement connaitre la version de WordPress qui tourne sur votre blog et ainsi connaître quelles sont les failles qui existent pour cette version ! Pour masquer la version, il suffit d'ouvrir le fichier functions.php de votre thème (/wp-content/themes/) et d'y ajouter la ligne suivante :
<?php remove_action('wp_header', 'wp_generator'); ?>
Enregistrez le fichier et c'est terminé, personne ne connaitra la version de votre blog ! - Scanner son blog avec le plugin WP Security Scan qui lancera une batterie de tests et vous fera un rapport des problèmes de sécurité existants sur votre blog : mot de passe, permissions sur les fichiers, sécurité de la base de données, etc.
- Clés de sécurité : ouvrez le fichier wp-config.php situé à la racine de votre FTP et ajoutez-y (si ce n'était pas le cas) les "clés de sécurité" qui protégeront plus efficacement votre blog
- Sauvegarder : toujours, toujours sauvegarder son blog régulièrement. Il existe des plugins capable de faire un backup de votre base de données MySQL, utilisez-les ! Faites régulièrement une sauvegarde via FTP de vos thèmes et de vos plugins WordPress, en cas de pépin vous serez ainsi capable de remettre sur pied votre blog.
- Spam : mettez en place le plugin Akismet qui stoppera la (quasi) totalité des spams de commentaires.
Pourquoi sécuriser un blog WordPress ?
A retenir : maintenir votre blog à jour et faire des sauvegardes régulièrement ! Il vaut mieux "perdre" 15 min à sauvegarder son blog que perdre 2 ans de blogging...