Sécuriser WordPress contre les pirates informatiques

WordPress est sans aucun doute une des meilleures plateformes de publication disponible sur le marché.

Elle a son propre modèle de développement axé sur le logiciel libre, possède un puissant système d’extensions et de thèmes, et bénéficie d’une communauté vaste et dynamique d’utilisateurs et de développeurs passionnés.

Une des conséquences directes de la popularité du logiciel WordPress est qu’il devient la cible constante d’attaques et de tentatives de piratage.

Il y a le problème du spam dans les commentaires, mais aussi les scripts (bots) et les pirates qui essayent de prendre le contrôle de votre site web. Par exemple, j’ai vu de nombreux cas o ont déjà eu la fâcheuse surprise de voir leur page d’accueil remplacée par une page noire signée par un hacker. Très souvent ce problème de sécurité est du au fait que l’installation WordPress n’est pas à jour et utilise encore une version périmée.

Il est facile de négliger la sécurité de son installation de WordPress et chaque blogueur devrait passer un peu de temps sur la question. WordPress publie régulièrement des mises à jour de leur plateforme. Bien sûr, le minimum est d’effectuer une mise à niveau vers la version la plus récente, en particulier s’il s’agit d’un correctif de vulnérabilité. Par exemple, si vous avez installé WordPress à partir d’un installateur comme Fantastico et n’avez jamais effectué de mise à jour depuis, vous devriez le faire maintenant.

Pour savoir quelle version vous avez et si une mise à jour est disponible, il suffit de vérifier le numéro de version dans le tableau de bord.


Malheureusement, avoir la dernière version ne garantit pas qu’un hacker n’essaiera pas de s’y introduire.

Voici quelques ressources qui pourront vous aider à améliorer la sécurité de votre blogue:

  • Tout d’abord assurez-vous de modifier le nom d’usager par défaut pour autre chose que ‘admin’. L’article lié vous suggère 3 façons de le faire facilement.
  • Le codex WordPress  a un article complet sur comment sécuriser votre installation WordPress
  • L’extension WordPress Security Scan vous permet de trouver des failles de sécurité sur votre site, vérifier les mots de passe, les permissions fichiers, sécuriser la base de données. L’extension cache aussi la version WordPress et sécurise la zone d’administration.
  • L’extension login lockdown vous permet de contrôler les tentatives de connexion. Il règle par exemple le cas de scripts ou de robots qui font des attaques utilisant des dictionnaires.
  • L’extension WordPress login logger vous permet d’enregistrer les tentatives de connexion, et permet donc de retracer les attaques.
  • WP DB Backup est une extension qui fait une copie de votre base de données WordPress (utile dans le cas où un pirate aurait eu accès à votre tableau de bord et aurait publié ou supprimé des articles existants).

Il y aussi des tactiques efficaces comme ne pas autoriser l’accès au répertoire “wp-admin”, sauf en provenance d’adresses IP sélectionnées. Les usagers ou les scripts avec une adresse inconnue auront alors une réponse 403. Si vous administrez WordPress sur votre propre serveur dédié, vous pouvez également utiliser une application VPN comme OpenVPN, pour sécuriser l’accès à votre tableau de bord.

Un dernier conseil avant de conclure:

Ne vous fiez pas à toutes les extensions que vous trouverez sur Internet. Assurez-vous qu’une vaste communauté d’utilisateurs s’en servent et que son auteur fournit un certain niveau soutien ou au minimum apportent des correctifs aux bogues qui lui sont signalés. Si l’extension est gratuite, n’oubliez pas d’offrir votre soutien en faisant un don si l’auteur le demande, ou même en y contribuant si vous êtes un développeur.

Cette liste n’est pas exhaustive. N’hésitez pas à partager vos propres trucs et conseils dans les commentaires ci dessous.

J’ai écrit cet article à l’origine sur le blogue d’iWeb, il y est également disponible en anglais.
1 commentaire

Laisser un commentaire