WordPress est une plateforme sécurisée. La communauté de développeurs qui la maintient est très active. Mais là, il s’agit du cœur de WordPress, et même si WordPress propose aux développeurs un éventail de fonctions permettant de sécuriser les données qui sont manipulées, cela ne nous dispense pas de prendre des précautions supplémentaires pour sécuriser un minimum votre plateforme. Dans cet article, je vous donnerai quelques conseils pour augmenter le niveau de sécurité de votre plateforme.
Gardez votre plateforme à jour
J’ai récemment visité le backoffice d’un site, et j’étais stupéfait de constater qu’il y avait plus de 15 notifications de mise à jour en attente. C’est exactement ce qu’il faut éviter. Les mises à jour sont très importantes pour la sécurité d’une plateforme. Déjà, si vous avez accès à votre hébergement, pensez à mettre à jour votre version de PHP.
WordPress est développé en PHP, un langage de programmation qui propose plusieurs fonctions natives. Parfois, certaines de ces fonctions présentent des failles de sécurité qui rendent le site vulnérable. Quand une faille est détectée, une version améliorée de la fonction est créée et en général c’est dans une nouvelle version qu’elle est disponible.
Si vous n’avez pas accès à votre hébergement, ne vous inquiétez pas. Contentez-vous de mettre à jour la version de WordPress (la version actuelle c’est la 5.4.1, assurez-vous que vous êtres à jour). Mettez également à jour les thèmes que vous avez installés, et bien évidemment les plugins que vous utilisez.
Débarrassez-vous des plugins et thèmes inutilisés
C’est un réflexe que beaucoup de personnes ont : elles gardent des plugins et/ou thèmes qu’elles n’utilisent pas. C’est vivement déconseillé. Même si le plugin est désactivé, il est recommandé de ne garder que les plugins dont on se sert.
C’est pareil pour les thèmes. À l’installation, WordPress met à votre disposition quelques thèmes. Mais en général, on en installe un autre soit qu’on acheté, soit qu’on a choisi depuis la bibliothèque de WordPress. Après, très peu pensent à nettoyer la liste.
Pourquoi se débarrasser de ces plugins et thèmes ? Simplement parce que le fait qu’ils ne soient pas utilisés fait qu’on ne pourra pas détecter un quelconque dysfonctionnement. Il faut savoir que même en gardant nos plugins et thèmes à jour, on n’est pas forcément à l’abri de bugs ou de failles de sécurité. Mais comment détecter un comportement suspect si on n’utilise pas un plugin ? Le mieux reste de le désinstaller.
Pour les thèmes, cependant, je conseille d’en garder un en plus de celui qui est utilisé (et éventuellement son thème enfant). L’autre thème pourrait être utile en cas de souci avec le thème activé ou si on a besoin de mettre manuellement à jour un thème premium. Et bien évidemment, il faut les garder à jour.
Limiter le nombre de tentatives de connexion au site
C’est la troisième chose à faire – mais qui devrait peut-être faite en première position : réduire le nombre de tentatives de connexion au site. Pourquoi ? Eh bien ça réduira les risques de subir une attaque par force brute.
Le principe de la force brute est simple : le hacker écrit un programme qui va essayer plusieurs mots de passe les uns après les autres sur votre site. Si vous n’avez mis aucune restriction, il réussira peut-être, surtout si votre mot de passe n’est pas assez robuste.
Beaucoup de pirates sont en mesure de trouver un mot de passe par dictionnaire en une seconde.
Kaspersky.fr
Pour mettre cette mesure en place, vous devrez simplement installer un plugin qui vous permettra de limiter les tentatives de connexion à votre site. Je n’ai pas vraiment de référence en la matière, mais essayez les plugins Loginizer, WP Limit Login attempts ou encore Limit Login Attempts qui en plus de la limitation des tentatives de connexion permet entre autres de bannir une adresse IP de votre site.
1 Commentaire
Pingback: WordPress : et si votre thème avait besoin d’un enfant ? – I Am Fotso