Les régles de base pour bien sécuriser votre site Worpdress
WordPress est-il un système de gestion de contenu (CMS) vulnérable et rempli de failles ? Non. Comme d’autres solutions très répandues, WordPress intéresse les pirates et internautes mal-intentionnés, qui peuvent essayer de profiter de bugs ou d’absence de sécurité pour s’introduire dans le système. Afin d’éviter le pire (modification du blog ou suppression pure et simple), vous devez respecter des règles de base pour sécuriser WordPress. Voici une liste de conseils à suivre.
Utilisez le HTTPS pour sécuriser WordPress et la connexion au blog
Vous avez pour habitude de travailler via des accès WiFi publics, et de bloguer depuis des cafés, hôtels ou lieux avec des accès partagés. Attention au risque d’introduction dans votre blog que ces connexions permettent. Passer par un réseau ouvert, c’est multiplier votre exposition aux intrus. Pour éviter cela, sécurisez la connexion à votre tableau de bord, voir au blog entier. Des plugins permettent de réaliser cette manipulation. Si vous utilisez WordPress.com, alors vous pouvez cocher « Toujours utiliser HTTPS pour accéder aux pages d’administration » dans l’espace Paramètres Personnels.
Modifiez l’URL pour se connecter au blog
Par défaut, les pages de connexion à votre blog sont wp-admin et wp-login.php. Vous pouvez cacher ces pages, et définir une url de connexion que vous seul connaissez. Si vous masquez la porte d’entrée aux cambrioleurs, vous limitez le risque. Pour plus de sécurité, mettez en place une authentification en deux étapes (une case à cocher sur WordPress.com, ou un plugin à installer sur votre blog hébergé par un tiers). Vous pouvez aussi bloquer les tentatives de connexion après un certain nombre d’échecs. Pratique pour barrer la route de ceux qui essaient de nombreuses combinaisons identifiant / mot de passe. Les plugins WordPress Security et Limit Login Attempts vous y aideront.
Évitez les identifiants par défaut
Dès qu’un paramètre est défini par défaut, vous devez avoir le réflexe de le changer. N’utilisez pas « admin » comme identifiant. Définissez un ID plus complexe. Ensuite, dans votre profil, allez personnaliser vos paramètres. Là encore, par défaut, WordPress affichera votre identifiant comme étant l’auteur des articles. Vous avez la possibilité de définir un nom visible différent de votre identifiant. L’intérêt ? Ne pas rendre public votre pseudo de connexion, et limiter les tentatives de vols de mot de passe. Pensez d’ailleurs à définir un mot de passe compliqué, différent du nom de votre compagnon ou de sa date de naissance.
Nettoyez régulièrement votre liste de plugins et supprimez les thèmes non-utilisés
A quoi bon conserver des documents qui ne servent à rien ? Supprimez les plugins dont vous ne vous servez pas, ainsi que les thèmes que vous ne retenez pas. Ces éléments, même inactifs, peuvent être utilisés par des pirates pour y glisser des codes et faire tourner des scripts malveillants. Gardez donc en ligne le strict nécessaire.
Crédit photo : kpgolfpro / Pixabay