Mais, d'un autre côté, c'est l'une des plateformes qui souffre le plus des tentatives de piratage. Autant il existe des plugins contre les failles de sécurité WordPress, autant on peut protéger et sécuriser son site Wordpress grâce à de simples précautions basiques.
Le risque zéro n'existant pas dans le domaine de l'internet, des précautions d'usage permettraient d'assurer une meilleure sécurité du blog WordPress.
Ce qui vous éviterait d'être facilement piraté par le premier venu. Mais attention, pour mettre en place ces manipulations, quelques connaissances en code HTML ou PHP sont nécessaires.
1. Déplacez le fichier wp-config.php dans un répertoire différent :
Si votre hébergement web vous permet un accès à la racine de votre site par FTP, changez votre fichier de configuration wp-config.php de répertoire. Cela ne mettra pas votre site à mal. Mais, si, pour une raison ou une autre, vous avez des soucis techniques, vous pourrez revenir en arrière.
En déplaçant ce fichier, vous compliquerez un peu la tâche aux pirates qui chercheraient à accéder à votre wp-config.php qui contient toutes les informations précieuses de votre base de données.
2. Rendez les échecs de connexion plus ambigüs :
Par défaut, lorsque quelqu'un tente d'accéder à votre espace d'Administration, WordPress lui indiquera que soit son identifiant est faux, soit son mot de passe est faux.
Ce qui constitue une information supplémentaire pour le hacker. Pour éviter qu'il sache ce qui est faux, ajoutez le code PHP ci-dessous au fichier functions.php de votre thème afin qu'il retourne à toute tentative d'intrusion ayant échoué l'expression "Votre connexion ne peut aboutir".
function wrong_login() {
return 'Votre connexion ne peut aboutir.';
}
add_filter('login_errors', 'wrong_login');
3. Changez le nom "admin" de l'administrateur :
"admin" est le nom par défaut attribué à la création d'un site WordPress et tous les pirates le savent. Alors, si aujourd'hui encore votre identifiant de connexion est "admin", créez un autre nom d'administrateur comportant un ou deux chiffres et ayant les pleins pouvoirs avant de supprimer l'ancien.
Mais, de préférence, utilisez un nom d'administrateur un peu compliqué à déchiffrer.
4. Evitez les mots de passe faciles :
Certes, certains webmasters trouveront que leurs sites ou blogs n'ont rien d'extraordinaires qui puissent intéresser les hackers. Et pourtant, ce sont ceux-là même qui sont le plus souvent les victimes de piratages. Ils constituent alors des portes d'entrée sur un serveur mutualisé et mettent la sécurité de tous les autres sites hébergés sur le même serveur en péril.
Evitez donc d'utiliser un nom commun trouvable dans un dictionnaire, un nom de personne, un nom de site, etc. Utilisez des mots de passe complexes longs d'au moins 10 caractères alphanumériques (combinaison de chiffres, lettres, ponctuations et caractères spéciaux). Servez-vous de cet outil en ligne pour en créer de plus complexes.
5. Désactivez l'éditeur de fichiers WordPress :
Si vous n'utilisez pas l'éditeur de fichiers WordPress, c'est une bonne idée de le désactiver. Pour ce faire, il suffit d'ajouter la ligne de code PHP suivante au fichier functions.php de votre thème WordPress :
define('DISALLOW_FILE_EDIT', true);
6. Supprimez ou modifiez le fichier "readme.html" :
Le fichier WordPress readme.html présent à la racine de votre site est un fichier qui contient la version de votre WordPress. Alors, supprimez-le ou renommez-le.
7. Supprimez ou renommez le fichier install.php
Le fichier install.php est situé dans le répertoire /wp-admin/ n'est plus utile une fois l'installation initiale de WordPress terminée. Les pirates pourraient l'exploiter si vous le laissez sur votre serveur.
Alors, de préférence, supprimez-le définitivement.
8. Supprimez ou renommer le fichier upgrade.php :
Le fichier upgrade.php qui se trouve aussi dans le répertoire /wp-admin/ est dans la même situation que le fichier install.php. Tant qu'à faire, supprimez-le aussi.
9. Supprimez la version de votre WordPress des balises meta :
En visitant le code source de la page d'accueil de votre site ou blog, si vous voyez le code suivant ou
<meta name="generator" content="WordPress 3.9.1"/>
vous pouvez le supprimer en ajoutant les lignes de code PHP suivantes dans le fichier functions.php de votre thème :
function remove_version() {
return '';
}
add_filter('the_generator', 'remove_version');
10. Supprimez l'utilisateur avec le numéro d'identifiant "1" :
Avoir un administrateur ou un utilisateur avec le numéro d'ordre égal à 1 peut aider les pirates dans de rares situations. Si vous voulez vous préserver de toutes déconvenues, créez un nouvel administrateur et supprimez le premier administrateur.
De toute façon, si vous appliquez le point 3 de cet article, ce numéro sera automatiquement supprimé.
11. Désactivez l'option "Tout le monde peut s’enregistrer" :
Si votre site ou blog WordPress n'accepte aucune inscription, depuis votre tableau de bord, allez dans "Réglages" puis "Général" pour désactiver l'option "Tout le monde peut s’enregistrer".
12. Evitez d'utiliser le préfixe "wp_" par défaut pour votre base de données :
Cela peut être assez fastidieux de changer une fois que vous avez déjà installé votre site Web, mais assurez-vous juste de l'éviter lorsque vous installez de nouveaux sites WordPress à l'avenir.
Un préfixe personnalisé est meilleur. Exemples : "w3jp_" ou "wq9y_".
13. Assurez-vous que le mode debug est désactivé :
Non seulement le mode debug (ou mode débogage) ralenti votre site WordPress, mais il peut inquiéter vos visiteurs et aussi fournir de bonnes informations valables aux hackers potentiels. Même s'il est utile en phase de développement.
Pour être sûr de le désactiver, éditez votre fichier wp-config.php et vérifiez que la ligne de code suivante est bien celle que vous y voyez :
define('WP_DEBUG', false);
Sinon, vous pouvez vous contenter de limiter l'accès au mode de debogage.
14. Supprimez les thèmes et plugins que vous n'utilisez pas :
Combien de webmasters changent de thèmes ou en testent sans jamais les supprimer après avoir fait leur choix définitif. Il en est de même avec les plugins inutilisés qui alourdissent aussi le sytème. Ces thèmes et plugins inutilisés sont de véritables opportunités pour les hackers.
15. Faîtes les mises à jour :
C'est la moindre des choses. Vous ne pouvez pas utilisez WordPress sans le mettre à jour à chaque nouvelle version disponible. Il y va de la sécurité de votre site ou blog. Ne tentez pas le diable !
