Lancé en 2003 par l’informaticien et entrepreneur américain, Matthew Mullenweg, WordPress fait partie des CMS (ou Systèmes de gestion de contenu) les plus populaires et est le plus utilisé par la communauté des développeurs. Le CMS n’est pas uniquement destiné aux professionnels de l’informatique, n’importe qui peut l’utiliser pour créer un site web ou un blog car sa prise en main est très facile et ne nécessite pas de connaissances très poussées en développement web. Le succès de WordPress est incontestablement lié à la richesse des plugins qu’il offre aux utilisateurs : plus de 36 600 plugins pour étendre les fonctionnalités du CMS.
Comme tout système informatique, WordPress n’est pas à l’abri des gens malicieux ou malintentionnés qui sont à la recherche effrénée de failles de sécurité à exploiter pour en tirer des profits. C’est pourquoi, il est essentiel pour les blogueurs et les webmasters de prendre un certain nombre de précautions pour pouvoir veiller à la sécurité de leurs pages web, et c’est ce que nous allons découvrir dans les lignes qui suivent.
Penser à faire les mises à jour
Pour la barrer la route aux hackers, des mises à jour sont régulièrement proposées par l’éditeur du système de gestion de contenu. Les mises à jour permettent en effet de corriger des failles de sécurité découvertes sur certaines fonctionnalités. C’est la raison pour laquelle il ne faut jamais avoir la paresse de télécharger et d’installer ces mises à jour car il y va de la survie de votre site internet.
N’utiliser que les plugins strictement nécessaires
Si vous n’utilisez que les plugins indispensables pour le fonctionnement de votre site web, vous aurez moins de mises à jour à faire et vous réduisez en même temps les risques d’attaques. D’autant plus que y a certains hackers qui conçoivent des plugins pour ouvrir des portes dérobées qu’ils peuvent utiliser à votre insu pour lancer des attaques de type dénis de service. Si un tel cas se produit, votre domaine peut se retrouver facilement sur le backlist de Google, ce qui nuit considérablement à la notoriété et à l’image de votre site web.
Effectuer des sauvegardes périodiques
Le risque zéro n’existe pas en site internet, malgré toutes les mesures de sécurité que vous pouvez prendre, votre site web peut-être victime d’une attaque d’un jour à l’autre. Donc pour retrouver la dernière version de votre site sur la toile, il faudrait que vous ayez une sauvegarde récente de votre base de données.
Protéger votre installation
La première mesure de sécurité consiste à cacher la version de WordPress installée sur votre site. Pour cela, il suffit de placer le code ci-dessous dans le fichier function.php de votre thème :
remove_action(« wp_head », « wp_generator » ) ;
Cette pratique permet de se prémunir d’un potentiel attaquant désireux de savoir la version de WordPress installé sur votre site pour pouvoir exploiter ses failles de sécurité.
La seconde recommandation, est d’ajouter des clés de sécurité secrètes dans le fichier wp-config.php pour renforcer la sécurité des mots de passe. Ces codes de sécurité devrait se trouver sur le fichier wp-config.php mais si tel n’est pas le cas vous avez la possibilité de les générer à nouveau en vous rendant sur ce site via l’url suivante : https://api.wordpress.org/secret-key/1.1/salt/.
Il ne vous restera qu’à copier le code généré sur le fichier wp-config.php. Voici un exemple :
define(’AUTH_KEY’,’n6BaOVB1JK2o/Y#*Xca.Xy8-q[-r9KK>[-HI(e(wf9O1r|#-5N]4Iee)iAn,B');
define('SECURE_AUTH_KEY', 's*Oyb&jpI#c In}i)<-rlKmC3GZot$.^CyGu?t P37H64AqpBC6MojqYJk/vsis^');
define('LOGGED_IN_KEY', 'I$]IV6Ah~nePyIUURmg]bqz@o#f!7fbG1};m^Lm[v:BSIR>UpB#>iOWC=|=l.mVK');
define('NONCE_KEY', 'dN4X4tVI|$928B+bo~g#y^c-S 0OZIUWJ(w(8JnzFdWFQlWq4+V<8li[C|jLPy^’) ;
define(’AUTH_SALT’, ’_g,W-vBSMZLsd!9C/ZH8_e+^R/BV$y8.qQd ;,dnd-^F^#4—u-_t3Z(kDE_@=s’) ;
define(’SECURE_AUTH_SALT’, ’[0o+ t :|zDvEvT 9,@+:2_Aq- !Ks !n() ZeGMWdZ/Q#B[ri8EEVivE2|zsGdo');
define('LOGGED_IN_SALT', 'hJ;61(^I:7HjIg&w$+f]#6#{qd+W^BYGhd!_L{x;x|{*|?6XTLw|il4|wHw_Lw&’) ;
define(’NONCE_SALT’, ’ !@xoSL ?yx-RDi7|ur_s |G+XVIq1&bGYlD7>L7(,H<@(nUKum^hj`mM#7LLC9’) ;
Le dernier conseil pour protéger votre installation, est de limiter l’accès aux fichiers wp-config.php et .htaccess en utilisant les codes ci-dessous :
<Files>
order allow, deny
deny from all
<Files>
order allow, deny
deny from all
Se protéger contre les usurpations d’identité
Afin d’éviter qu’une personne non autorisée accède à la page d’administration de votre site, vous devez restreindre le nombre de tentative de connexion autorisé durant un laps de temps. Pour cela vous installer et configurer le plugin Login LockDown et choisir des mots de passe pas facile à deviner.