Guides & Astuces

WordPress – Sécurité et Maintenance les bonnes pratiques

Par Tutos-Info , le 7 février 2022 - 3 minutes de lecture
logo fibre
5/5 - (1 vote)

La plupart des sites internet sont hébergés par le CMS WordPress. Il s'agit d'une application très utilisée et donc qui attire par conséquence les pirates. Il est donc très important pour un site WordPress d'adopter des bonnes pratiques pour éviter les piratages.

Comment sécuriser WordPress ?

Le panel Admin

La gestion d'un site WordPress se fait par le panel administrateur. La page d'accès est généralement accessible via le dossier wp-admin , il est possible de changer l'accès à cette page mais ça peut entraîner des effets de bords avec certaines applications.

Une des possibilité est d'ajouter une couche de sécurité supplémentaire avec une double authentification (pas par SMS). Ainsi pour vous connecter à l'interface il faut votre login , votre mot de passe et un code générer aléatoirement depuis une application comme Google Authenticator.

Le plugin WordFence permet d'ajouter très facilement une double authentification.

Enfin vous pouvez également changer le compte administrateur de WordPress par un autre login. Le login de base peut être "admin" ce qui est assez simple à identifier pour les robots.

Il est également recommandé d'utiliser un mot de passe unique et robuste (+ de 12 caractères, symboles, majuscules, chiffres et minuscule). Ce mot de passe est à renouveler tous les ans par exemple pour accroître la sécurité.

Les droits d'accès

Certains fichiers de WordPress ne doivent pas être accessibles. En effet vous ne devez pas diffuser vos login et mot de passe de base de données. La documentation WordPress indique les règles de droits à appliquer. Les "CHMOD" son clairement indiqués et il faut respecter les instructions. Les CHMOD sont des droits d'accès aux fichiers du CMS.

wordpress config droits
Les droits d'accès (CHMOD) pour le fichier config.

Un Pare-feu Applicatif

Vous connaissez sûrement les pare-feu réseau qui permettent d'autoriser ou non les flux sur votre réseau. Il existe également des pare-feu applicatifs qui permettent de filtrer plus finement les accès. Par exemple la solution CloudFlare permet de filtre précisément les URI. Vous pouvez par exemple autoriser uniquement certains paramètres dans les URI, filtrer un accès uniquement sur certaines adresses IP.

Vous pouvez ainsi protéger votre accès au back office. Cloudflare permet aussi de vous protéger de certaines attaques par Deni de service.

Maintenir WordPress c'est essentiel

WordPress

La sécurité et la maintenance fonctionne ensemble. En effet si vous mettez toutes les règles de sécurités mais que vous ne procédez à aucune maintenance ça ne sert à rien.

Une maintenance WordPress permet de mettre à jour le CMS et corriger certaines failles de sécurités. WordPress permet également d'utiliser des thèmes et des plugins, ces derniers sont également à mettre à jour puisqu'ils peuvent être une source d'attaque.

Certaines entreprise sont spécialisées dans la maintenance, vous pouvez souscrire des contrats d'infogérance pour qu'une équipe d'experts vous accompagne. (vous trouverez plus d'infos sur le site de Wpline par exemple.)

N'oubliez pas vos serveurs

Il existe certains panel pour simplifier l'administration de vos serveurs (vps ou serveurs dédiés). J'aime beaucoup la solution Plesk qui est claire et simple à utiliser. Il permet également d'assurer les mises à jour et les correctifs de vos serveurs. C'est souvent un point qui est oublié ne pas s'occuper de la maintenance du serveur. En effet il ne faut pas se focaliser uniquement sur le CMS.

Les serveurs peuvent aussi être vulnérables et peuvent hébergés plusieurs sites !

Tutos-Info

Fondateur de Tutos-Informatique, je suis Administrateur Systèmes et Réseaux. Je propose des tutoriels suite à mes interventions clients.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.