Il existe des millions de sites propulsés par WordPress tout autour du monde. Si cette solution est si souvent choisie pour mettre en place un site web, c’est sans aucune doute parce qu’il est très facile de créer un site avec WordPress. Si un site de base peut être prêt en quelques minutes, il faut du temps pour le personnaliser. Il y a néanmoins un aspect qui est bien souvent négligé, par manque de connaissances ou tout simplement de considération : la sécurité. J’ai contacté l’agence Pure Illusion, spécialiste en création de sites WordPress, qui m’a donné des conseils que j’ai regroupé dans l’article qui suit.

Quels sont les risques ?

Les risques encourus pour un site WordPress mal sécurisé sont nombreux. Une personne mal intentionnée pouvant obtenir un accès à votre site, en modifier l’apparence, le contenu, en fausser le message, et éventuellement détruire en un clin d’oeil le travail que vous aurez mis des semaines, des mois ou même des années à faire. Outre le temps perdu, les données irrécupérables (aviez-vous pensé à faire des sauvegardes régulières ?), l’impact sur l’image du ou des auteurs, de la marque ou de la société à laquelle appartient le site peut être désastreux.

Quelques sont les mesures à prendre ?

Quelques bonnes habitudes peuvent vous permettre d’éviter de vous exposer inutilement au risque d’un piratage de votre site. Le premier réflexe à avoir est de mettre régulièrement à jour WordPress de façon à profiter des dernières mises à jour de sécurité. Ensuite, utilisez des mots de passe complexes, combinant lettres, chiffres et caractères spéciaux et supprimez le compte administrateur créé par défaut à l’installation. WordPress lui-même peut fournir des outils à un pirate. Par défaut, il transmet au navigateur son numéro de version. A partir de là, il n’est pas difficile de déterminer les failles de sécurité répertoriées pour cette version. C’est pourquoi il est important de faire en sorte que cette information ne soit plus transmise. Restreindre le nombre d’essais d’identification, protéger les fichiers et les répertoires grâce à des fichiers .htaccess et faire des sauvegardes régulières sont autant de mesures efficaces.

Utiliser des plugins de sécurité

Certains plugins peuvent apporter à votre site les éléments de sécurité qui vous manquaient. Il n’est bien sûr pas question ici de dresser une liste exhaustive de plugins à utiliser, mais plutôt d’en sélectionner quelques-uns. Il est important également de ne pas multiplier les plugins, qui parfois sont eux aussi la source de failles de sécurité.

Avant d’essayer de sécuriser un site, il faut en identifier les failles. C’est le rôle du plugin WP Security Scan qui permet d’identifier un certain nombre de changements bénéfiques à effectuer, comme les droits d’accès aux répertoires, et offre la possibilité de changer le préfixe de la base de données.

Des plugins comme Login Lockdown et Lockdown WP Admin permettent de verrouiller l’accès aux formulaires de connexion et de protéger le panneau d’administration.

Dans le même ordre d’idée, Login Dongle va protéger le répertoire d’administration, tandis que SF Move Login va modifier les urls des pages d’administration de façon à ce qu’un pirate ne puisse pas les retrouver.

Des plugins et thèmes mal conçus peuvent embarquer des failles ou pire, des fichiers malveillants. Wordfence Security sera en mesure de les passer en revue et de détecter les problèmes et de vérifier si ils sont à jour. VIP Scanner effectue le même travail, mais est spécialisé dans l’analyse des thèmes.

Laisser un commentaire