Quelques astuces pour mieux protèger votre blog wordpress

Wwordpress securityJe pense ne pas me tromper en disant que WordPress est à l’heure actuelle, le CMS le plus utilisé sur la toile. Malheureusement, cette popularité a un revers, elle fait de WordPress une des cibles favorites des attaques informatiques, souvent par des scripts-kiddies en manque d’adrénaline.

Pourtant, sans être un as de la sécurité et avec seulement un peu de bon sens, il est possible de tenir son blog à l’abri. Voici quelques conseils pour vous aider à y arriver.

Les mises à jour tu feras

Que ce soit des mises à jour du core, plugins ou thèmes, n’attendez pas des jours et des jours pour les faire. Dès qu’une mise à jour vous est notifié, sauvegarder la base de donnée de votre site et faites la, surtout s’il s’agit d’une mise à jour de sécurité.

Un des arguments que j’entends fréquemment, quand je demande à des potes blogueurs pourquoi ils n’ont pas encore mis à jour leurs blogs, La réponse est toujours la même (quand ce n’est pas par fainéantise), ils attendent que les auteurs d’un ou deux plugins parmi ceux qu’ils utilisent, proposent une mise à jour pour que ces derniers soient compatibles avec la dernière version de WordPress !

SVP, ne tombez pas dans le même piège. S’il vous arrive d’être dans la même situation, essayez de trouver un plugin qui fait le même boulot, je suis quasi sûr que vous en trouverez beaucoup. Ça sera la bonne occasion pour virer le plugin obsolète qui ne respecte pas les standards de WordPress.

Un mot de passe compliqué tu choisiras

À chaque fois qu’un dump d’une bdd est balancée dans les internets, je suis frappé pas par la faiblesse déconcertante des mots de passe que les gens choisissent. Ne choisissez pas dans la facilité en optant pour un mot de passe facile à retenir, faites en sorte qu’il contient au minium 18 caractères (lettres minuscules, lettres majuscules, chiffres, caractères spéciaux).

Autre chose, les post-it et petit bout de papier avec votre mot de passe dessus, que vous cachez sous le clavier, c’est à oublier aussi. Sur ce blog, je vous ai déjà parlé des gestionnaires de mots de passe ( et ).

Les droits admin tu ne donneras pas

Tenir un blog à jour demande beaucoup d’énergie et de temps libre, c’est pour quoi il n’est pas rare de trouver plusieurs personnes derrière les commandes d’un blog. Cependant, certains blogueurs imprudents au lieu de créer des profils éditeurs, donnent des droits admin à tour de bras ! Ne faites jamais cette erreur, il est plus facile de faire le ménage derrière les conneries causés par deux que dix mains.

L’accès à tes répertoires tu protégeras

Les répertoires de votre blog ne doivent pas être consultables de l’extérieur. Si ce n’est pas déjà fait, ajouter des fichiers index.html ou .php vide à dans les dossiers /wp-*. Autre solution consiste à insérer dans votre fichier .htaccess la ligne suivante :

Options -Indexes

Elle empêchera les visiteurs de votre blog de parcourir et de lister les fichiers de vos répertoires wordpress, au cas où ils ne contiennent pas des fichiers index.

Clefs uniques d’authentification et salage tu modifieras

Introduit dans wordpress depuis la version 2.6, le système de salage permet de renforcer considérablement la sécurité de votre blog, en rendant très compliqué le décryptage des données du fichier wp-config. L’autre avantage, c’est qu’elle va invalider les cookies, autrement dit, tous ceux qui sont connectés à votre blog devront se reconnecter.

La manip est facile, dans un premier temps allez sur le site de l’api, ensuite éditer le fichier wp-config et remplacer les clefs par défaut, par ceux que vous venez de générer sur le site.

define('AUTH_KEY',         'C.2CX+@ttArjqJKk#SI@S<q%~-km`#pap1kh_d2g,^p;w5chfgieikdamb>+K.C:');
define('SECURE_AUTH_KEY',  'R4[eJb+bdD6U-_Z@VINj+Yk+o~-mq-%8mwW?nF)NF,SdI)Ia&WPK^];H(Ip[@xW|');
define('LOGGED_IN_KEY',    '5~n:}VZJtK:#>pMkXP>Ua[ibvN>GbS9b-u+,[?w@U#{7z|k{>ml,c^`Omk/O+O}u');
define('NONCE_KEY',        'TAyf#TiB5;N0{wNvf=fcUvDNB!9:m4&r`kf<9Tkg[HQ-J~Dnea1A![Q]n2_h/-|o');
define('AUTH_SALT',        '|q=PU-`5Vel:v^E.1z2E4cfadlHL@|#h@l!+@]`88!<tju3i-}-*|+)u5-pgzd;g'); define('secure_auth_salt',="" 'o4_trb+=";DzmW]QK!f,EsYYjD]2]|^*K,">vl||290pp|qA~U8}:$2Dy(XgW q1j7');
define('LOGGED_IN_SALT',   'Nogf=$N.:E:qQnX7^DHdXPzDL<z{f!d!.~x+^i:*uri|e7xnv#u,r30ajue|,9yy'); define('nonce_salt',="" 'c-;%)q="">LcwRdqZ0];yeBx7{x2FO*_v;`]zg5&5k2psc|P;p+,Vv

Des backups tu feras

Si je ne devais insister que sur un point de tous ceux que je viens d’évoquer, ça serait bien celui là. En effet, malgré tous les efforts, le risque zéro n’existe pas en sécurité informatique, voilà pour quoi il est important de prévoir le pire des scénarios et faire des backups. L’idéal serait que vous automatisiez la tâche grâce aux nombreux plugins qui existent. Autre chose, évitez de les sauvegardes dans le même espace où est installé votre blog, ça ne sert strictement à rien.

Cet article Quelques astuces pour mieux protèger votre blog wordpress est apparu en premier sur crowd42.

Vus : 2060
Publié par crowd42 : 370