Bonnes pratiques pour sécuriser son blog WordPress

Sécurité Wordpress

Beaucoup de webmasters ne donnent pas une importance à la sécurisation de leurs blogs conçus avec WordPress. Mais une fois touchés par une attaque informatique ils se rendent compte de l’importance de la sécurisation de leurs blogs, surtout si les données hébergées sont sensibles.
C’est pour ça que j’ai réfléchi à citer une liste des bonnes pratiques pour sécuriser son blog WordPress :

Installation d’un blog de test dans un sous domaine

Si votre hébergement offre la possibilité de créer un sous domaine, alors il vaut mieux installer un blog de test dans un sous domaine de votre choix. Ce blog va vous servir pour tester les différents plugins, thèmes.. avant de les installer sur le vrai blog.
N’oubliez pas de décocher la case ‘Autoriser mon blog à apparaître dans les moteurs de recherche‘ lors de l’installation pour ne pas le référencer.
Pensez à créer un fichier robots.txt sous la racine du blog de test avec le code ci-dessous pour ne pas permettre au robots d’indexation de le référencer aussi.

Faire des recherches sur un plugin avant de l’installer

Avant d’installer un plugin, il est préférable de vérifier s’il fait partie des plugins vulnérables. Une petite recherche sur google devrait suffire.
Par exemple, les versions inférieures à 2.6.7 du plugin MailPoet Newsletters contiennent une faille de sécurité très dangereuse. Pourtant c’est un bon plugin qui est téléchargé par plus de 3 millions d’utilisateurs.

Ne pas utiliser les mots de passes simples

La création des mots de passes simples surtout pour les comptes administrateurs est une bonne opportunité pour les pirates pour pénétrer votre blog.
Une attaque force brute sera utilisée pour deviner le mot de passe. Et comme celui la n’est pas assez fort, les robots ne trouveront pas une difficulté pour le deviner.
C’est pour ça qu’il est important de créer des mots de passes compliqués (utilisez des majuscules, minuscules, chiffres et caractères spéciaux avec un minimum de 8 caractères).
Exemple d’un mot de passe sécurisé :

Protection du répertoire d’upload via un htaccess

Une bonne pratique est de désactiver l’exécution des fichiers PHP sur le répertoire d’upload du WordPress. Il s’agit de mettre un fichier .htaccess dans le répertoire \wp-content\uploads avec le code suivant :

 Désactivation de l’affichage des erreurs

Certain serveurs désactivent par défaut l’affichage des erreurs. Si ce n’est pas le cas, il faut le faire pour ne pas permettre au pirates de connaitre le chemin absolue de votre blog sur le serveur.
Pour désactiver l’affichage des erreurs, il faut ajouter cette ligne de code dans le fichier .htaccess présent sur la racine de votre site :

 Désactivation de l’affichage du contenu des répertoires

Comme l’affichage des erreurs, certains serveurs utilisent cette option pas défaut. Si ce n’est pas le cas, il faut ajouter cette ligne au fichier .htaccess présent sur la racine

 Création régulière d’une sauvegarde

A moins que votre hébergeur le fasse, il est très important de conserver régulièrement une copie de la base de données et de vos fichiers.
Plusieurs plugins WordPress offrent cette option. Parmi lesquels BackWPup Free – WordPress Backup Plugin

Laisser un commentaire

* Please arrange the below number in decreasing order

*